企業が運営しているウェブサービスに対し、外部から指摘を受けて脆弱性の存在が発覚することは珍しいことではありません。
ただ、第三者が脆弱性を偶然見つけても、脆弱性を報告する窓口がなければそもそも報告を受け付けることができず、サイバー攻撃に遭うリスクが高まってしまいます。
そこで必要となるのが、脆弱性開示プログラム「VDP(Vulnerability Disclosure Program)」。
VDPのメリットは、第三者が脆弱性を発見した際に脆弱性を報告できる窓口を設置することで、サイバー攻撃を受ける前に脆弱性を改修できる点です。アメリカではIT企業から非IT企業、政府機関までがVDPを導入をしています。
そんななか、IssueHunt株式会社は2023年1月に脆弱性報告窓口設置ツール「IssueHunt VDP」の正式提供を開始。同年8月に同サービスが株式会社ヌーラボに導入されたと発表しました。
VDPに必要な機能をノーコードで実装可能IssueHunt VDPは、脆弱性報告窓口の設置から改修提案までを提供するツール。
これまで、CSIRTやセキュリティチームの公開メールアドレスやカスタマーサポート、担当者のSNSのDMなどに送られていた脆弱性報告をVDP一本に集約することで、効率的な管理を実現します。
同サービスでは、脆弱性に特化したフォームの作成や設置、報告者とメッセージをできる機能や、報告者への謝辞や脆弱性を公開する機能といった、VDPに必要な機能を全てノーコードで実装することが可能。
なお、受け取った報告はダッシュボード内に蓄積され、ステータス(対応待ち・改善済みなど)を可視化し、チームで共有できます。
ヌーラボ社がIssueHunt VDP導入、脆弱性早期発見へIssueHunt VDPを導入した株式会社ヌーラボは、これまでは問い合わせフォームで脆弱性報告を受け取っており、サービスに関する問い合わせなどと情報が混在し、内容に応じて社内の担当組織に割り振る手間が発生していたといいます。
脆弱性の早期発見と迅速な対処を行うため、導線整備をする必要があり、今回IssueHunt VDPを導入したとのことです。
参考元:https://prtimes.jp/main/html/rd/p/000000023.000039740.html
「IssueHunt VDP」公式サイト:https://issuehunt.jp/vdp
(文・Haruka Isobe)