背景

当社は、世界中のバグハンター達に、自社サービスや製品のセキュリティホールを見つけてもらえるサービス「IssueHuntバグバウンティ」（ https://www.issuehunt.jp/ ）の提供を行っています。
複数の国内大手企業様より「いきなり社外のバグハンターを活用することはハードルが高く、まずは社内で実践したい。」というご要望を頂いております。そのため、弊社では「社内に閉じたバグバウンティの実装」を可能とするプロダクトの提供を今春より開始致します。

社内バグバウンティを実施するメリット

社員の活躍機会の創出（社内副業）
社内版バグバウンティを活用することで、スキルを持った自社の人材は、自部門のみならず他部門への貢献が可能となります。そのような貢献を報奨金や人事評価でフィードバックすることで、社員にとっての活躍の機会を広げることが可能となり、また優秀な人材発掘の機会にもなります。

社内のみのクローズド環境
文字通り社内の従業員の方々のみを対象としたバグバウンティのため、外部の人は一切プログラムを見ることが出来ず、情報が外部に公開されることはありません。

対外へのPR・ブランディング
社内バグバウンティの実施は日本においては先進的な取り組みであるため、自社の広報活動と組み合わせて頂くことで、自社のセキュリティへの取り組み姿勢を認知して頂くことや、採用等の副次的な効果を期待することが可能となります。
参考例として、NTTグループ様が今年1月に発表した社内版バグバウンティの取り組みは日本経済新聞にも取り上げられ、高い反響を呼んでおります。
https://www.nikkei.com/article/DGXZQOUC2180K0R21C22A1000000/

IssueHuntで出来ること

準備の手間なく導入が可能
バグバウンティの対象にするサービス等、数項目を設定頂くだけでプログラムページが生成されるため、そこに従業員の方を招待頂くだけで、プログラムを開始する事が出来ます。
脆弱性報告時はメッセージ機能等でやり取りをしたり、報奨金の付与を行うことが出来ます。

セキュリティ人材育成
セキュリティ関連部署の社員を除き、大半の社員は脆弱性に触れる機会が無く「脆弱性はよく分からないけど、何か怖いもの」といった認識をお持ちの方が多い、と当社は考えております。
当社は、脆弱性に関する教育や、実際に脆弱性診断を行う方法等、教育コンテンツの提供も可能です。そのような教育を通して希少なセキュリティ人材の育成を実現します。

運用サポート
社内の対応リソースが不足していたり、専門家の支援を受けながら当プログラムを実施したい場合には、当社とNDAを締結後、運用をサポートさせて頂きます。また、必要に応じて運用を全て一任頂くことも可能となります。
当社の担当が、貴社のセキュリティチームやシステム運用担当の方と連携しながら対応させて頂きます。
 

社内版バグバウンティの利用について

現在サービス提供前ですが、下記より事前登録を頂けますと、年内の正式版公開より前に、ベータ版のご案内をさせて頂きます。
正式版の公開は、今春を予定しております。
事前登録URL: https://www.issuehunt.jp/internal-bug-bounty

===
【会社概要】
会社名：BoostIO株式会社
代表者：横溝 一将
所在地：東京都中央区日本橋茅場町一丁目8番1号
お問い合わせ先：https://www.issuehunt.jp/about-us