日本漏洞獎勵平臺創始人來臺，協助臺灣企業抓漏

資安公司Sprout社長兼漏洞獎勵計畫平臺BugBounty.jp創始人高野聖玄（Seigen Takano）於4月21日來臺拜訪多家企業、政府機關、學校和相關組織等，提供漏洞獎勵計畫的概念，來協助臺灣相關單位利用漏洞獎勵計畫，降低內部系統存在的資安風險。目前，臺灣相關單位可利用BugBounty.jp的網路平臺，申請舉辦企業內部系統的漏洞獎勵計畫。

日本首創的漏洞獎勵平臺BugBounty.jp，主要是鼓勵白帽駭客協助企業發現系統漏洞，可以獲取實質回饋，所以參考了美國漏洞獎勵計畫HackerOne的制度，來建立日本在地化的漏洞獎勵計畫平臺。高野聖玄認為，雖然國外的漏洞獎勵計畫制度已經發展成熟，但是，大部分都是英文報告，日本員工不容易理解漏洞的內容，希望可以建立專門提供日文服務的漏洞獎勵計畫。

高野聖玄接著指出，有些日本企業不希望向外界揭露太多內部系統的資料，會選擇本國的白帽駭客來參加。Bug Bounty.jp目前登錄的成員約三分之二是日本籍白帽駭客，企業收到漏洞報告後，能夠和參與的白帽駭客互相交流，共同瞭解公司內部的資安問題。

然而，雖然世界上許多知名公司和政府目前都有舉行漏洞獎勵行動，廣邀駭客利用外部攻擊內部系統方式，來協助保障公司內部系統安全，例如Google、微軟、Facebook、聯合航空和美國國防部等，但是，還是有許多企業擔心白帽駭客的身分，可能有引狼入室的風險。高野聖玄強調，他們時常在駭客或資安社群圈尋找具有資格的駭客，會去調查該駭客的攻擊能力、聲譽、信用，以及過去是否擁有不良紀錄等，才會邀請該駭客擔任漏洞獎勵計畫的成員，Sprout目前已經擁有538位駭客。

漏洞獎勵計畫是輔助滲透測試的不足

高野聖玄一方面為企業安排漏洞獎勵計畫，另一方面也協助企業執行滲透測試服務（penetration testing），詳細檢測公司內部系統，來發現企業可能遭受外部攻擊的資安弱點和商業邏輯漏洞。滲透測試與漏洞獎勵計畫相比，前者花費的時間與費用會較多，費用大概在日幣300萬元到日幣600萬元之間（約新臺幣82萬元到164萬元），執行時間長達一個月。

高野聖玄說明，Sprout視公司規模來決定派出測試人員的數量，一般他們會派10位測試人員來擔任攻擊者，並允許測試人員可以在任何時間發動攻擊。而且，資安公司需要與公司在測試之前討論公司整體系統的規畫，以及所有檢測的項目，才開始執行滲透測試。

然而，高野聖玄也提到，有些漏洞可能無法利用滲透測試發現，部分企業會再舉辦漏洞獎勵計畫方式，來補足滲透測試的不足之處。Bug Bounty.jp目前提供2種漏洞獎勵計畫方案，一種會開放所有白帽駭客來參與；另一種方案是限制參與人數，高野聖玄指出，因為有些企業的資料較敏感，一般會限制20位到30位白帽駭客參加，但是，這兩種方案都是開放3天的攻擊時間。

不僅如此，高野聖玄同時發現，有些企業會利用漏洞獎勵計畫來培養資安人才，藉由攻擊後收到的漏洞報告，來研究企業內部系統會遭遇的資安威脅，並且提升整體公司的資安能力。而且，企業IT人員如果無法確實分析漏洞，Sprout可以幫助企業來分析，也可以更進一步協助企業修正整體的系統建置。

企業可自行決定漏洞獎勵計畫的獎金

高野聖玄談到，Bug Bounty.jp定義漏洞的獎金是參考美國HackerOne的制度，日本平均舉辦一次漏洞獎勵計畫，費用大概是在日幣150萬到200萬之間（約新臺幣41萬元到54萬元之間），但是，實際上舉辦漏洞獎勵計畫的獎金，包括總獎金、單一漏洞獎金，以及定義何種漏洞是否能計算獎金等制度，都是由企業自行決定。大多數漏洞獎勵計畫不會花光企業所提供的全額獎金，這也是企業願意舉辦漏洞獎勵計畫的因素之一。但是，高野聖玄也強調，如果獎金設得高的話，參與計畫的白帽駭客數量也較高。

高野聖玄說明，Sprout會在個別漏洞獎金裡面，抽取20%的手續費，例如，白帽駭客發現的漏洞價值10萬元，白帽駭客實質拿到獎金為8萬元，Sprout則拿到2萬元。除此之外，企業自行無法驗證白帽駭客發現的漏洞是否為真，需要請Sprout的專業人員驗證，企業需要加付漏洞獎金30%的驗證費，但是，高野聖玄也強調，如果企業認為白帽駭客回報漏洞不正確，Sprout就不會向企業收取驗證費。

目前，Bug Bounty.jp已經協助日本企業舉辦20場的漏洞獎勵計畫，包含日本音樂龍頭集團愛貝克思集團（Avex Group）、百度日本（Baidu Japan）、社群網站Pixiv等，總共找出298個漏洞。高野聖玄認為，雖然日本政府有漏洞通報平臺IPA（Information-technology Promotion Agency）但是，政府處理資安問題的反應較慢。他舉辦Bug Bounty.jp目的，是能夠積極地回應企業遇到資安威脅，並且協助企業修補資安漏洞。

高野聖玄表示，臺灣和日本經常面臨類似資安風險，希望藉由分享他們在日本舉辦漏洞獎勵計畫的成果，向臺灣提倡漏洞獎勵制度，來確實地解決企業內部系統的資安問題，並且尋找有興趣的臺灣公司，成為雙方互相合作的平臺。