米HackerOne(ハッカーワン)はこのほど、日本市場への本格参入を発表した。ホワイトハッカーによる脆弱性評価サービスの国内企業への展開を目指す。
同社は200万人以上のホワイトハッカーのグローバルコミュニティーを組織している。依頼があった企業の公開サイトや社内システムに対し、ホワイトハッカーがリサーチャーとしてアクセスし、脆弱性を見つけた場合は同社を通じて依頼元に報告する。攻撃者が悪用可能な状態にある脆弱性と認定されれば、リサーチャーは報奨金を得る仕組み。
国内の開発担当の新免泰幸氏によると、攻撃性のあるトラフィックではなく、想定と異なる入力順序やアクセス経路などを試すことで脆弱性を発見するという。ツールとの違いについては、人間のホワイトハッカーは創造性や文脈理解、複雑な思考を駆使し、機械では見逃されがちな弱点を発見できると強調する。
新免泰幸氏
企業側は報奨金の幅や、オプションで有資格者のリサーチャーを指定するなどの運用が可能。脆弱性の重要度はAIによるトリアージ機能などで判別する。企業側のプラットフォーム画面は日本語対応している。
国内では代理店展開を目指す。「CTEM(継続的な脅威エクスポージャー管理)と補完関係になる」(新免氏)として、SIerなどとの連携を見込む。同社の担当者が企業ごとに運用を支援する。(春菜孝明)
