情報漏洩を未然に防ぐ
オールインワンソリューション

新基準のsecurity.txt対応!
第三者からの脆弱性報告受付に特化した、オールインワンソリューション。

今年冬の正式版リリースに先駆け、先行登録を行っております。
事前登録頂いた企業様には、正式版のリリース前に随時ご案内を実施致します。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」トップ画像

IssueHunt VDPとは

自社サービスの脆弱性を発見した第三者が、報告を送る事が出来る脆弱性報告に特化した窓口をノーコードで設置する事が出来、脆弱性情報を管理する事が出来るシステムです。
2022年4月にRFC9116として発表された、セキュリティポリシーや脆弱性報告時の連絡先をウェブサイト上に記載するための仕組み、security.txtの生成にも対応しております。

IssueHunt VDPの機能

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」フォーム

脆弱性に特化したフォーム

脆弱性の深刻度を算出するCVSSや脆弱性の再現方法利用環境など、脆弱性の報告に特化した報告フォームを、Embedでウェブサイトに埋め込みや公開Urlで設置が可能です。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」Slack連携

重大な脆弱性に迅速に対応

Slackと連携しているため、報告が来ると、然るべき人にメンション付きで通知が届きます。
これにより、重要な報告の見逃しを防ぐことが可能です。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」一元管理

脆弱性をチーム間で一元管理

受け取った報告はダッシュボード内に蓄積され、ステータス(対応待ち・改善済み、など)を可視化し、チームで共有することが可能です。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」ノーコード

エンジニアリソース不要

全てNo Codeでフォームの設置から運用まで実施することが出来ます。貴重なエンジニアリソースを投下する必要がありません。

IssueHunt VDPがない場合のリスク

報告窓口がない事で、情報漏洩事故が発生するリスクがあります。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」課題1

⚠️ 脆弱性の報告が、セキュリティ担当者に伝達されない

カスタマーサポートしか報告出来る場所がなく、発見者が報告をしたとしても、セキュリティ担当者に伝達されない場合があります。最悪のケースとして、SNSに脆弱性が公開されてしまった事例もあります。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」課題2

⚠️ 発見された脆弱性が、届くのが遅い

発見者が早期警戒パートナーシップへ脆弱性を報告し、JPCERT/CCを経由して企業が報告を受け取る場合もありますが、実際に企業が報告を受け取るまで数日以上のタイムラグがあるため、脆弱性(≒個人情報漏洩リスク)が放置されてしまいます。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」課題3

⚠️ 善良な発見者が、法的責任を恐れる可能性

調査に関する規約がなければ、発見者がどれほど善意を持っていたとしても、法的責任を恐れて報告を行わない場合があります。その結果、本来直す事が出来た脆弱性が放置されてしまいます。

security.txtとの互換性

RFC9116で規格化が進められている、脆弱性の報告時に、必要な情報を掲示したもの。
ウェブサイトの/.well-knonw/security.txt に、脆弱性発見時の報告先や調査に関する規約等の情報を掲載する事で設置が可能です。

IssueHunt VDPで出来ること

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」出来ること1

◎5分で設置完了
security.txtの作成に必要なページ(報告先・ポリシー・謝辞・採用情報)を、ワンクリックで作成。
通常数日かかるsecurity.txtの準備が、5分で完了します。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」出来ること2

◎トップグローバル企業と同等のセキュリティ対策
security.txtは、GoogleやFacebook等のトップグローバル企業が導入しています。事前準備不要で、最先端の仕組みを導入することが出来ます。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」出来ること3

◎報告先に、IssueHunt VDPのフォームを指定
security.txtには、CSIRTのメールアドレスを掲載しているケースが多いですが、リスト収集業者に悪用される可能性がありますが、フォームUrlを掲載することで防ぐことが出来ます。

IssueHunt VDPの導入メリット

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」メリット1

メリット①ゼロデイ対策

悪意を持ったハッカーが脆弱性を用いて攻撃を行う前に、ユーザーや善意の報告者から報告を受け取る事で、修正を行う事が出来ます。コミュニティの力を借りて、情報漏洩事故を未然に防ぐことが出来ます。

メリット②メンバーの成長

社内で見つけることの出来なかった脆弱性が報告される場合が多いため、報告を受けてから直すまでの一連の流れを通じ、社内にノウハウを蓄積する事が出来ます。

新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」メリット2
新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」メリット3

メリット③企業ブランド向上

security.txtはトップグローバル企業が導入していることもあり、エンジニアコミュニティから好意的に受け入れられる事を期待する事が出来ます。また、報告者とはメッセージ機能を使ってコミュニケーションを行うことが出来るため、サイバーレジリエンスの向上を行うことが出来ます。

早期申し込みキャンペーン
IssueHunt VDPは、今年冬の正式版公開を予定しておりますが、既に上場企業様を中心に試験導入を開始しております。

2022年10月31日までにお申込み頂いた企業様に対しましては、正式版公開後、有料プランを3ヶ月無料でご利用頂けるクーポンをお渡しさせて頂きます。

お気軽にお申し込みください!
新基準のsecurity.txt対応!第三者からの脆弱性報告受付に特化した、オールインワンソリューション「IssueHunt VDP」申し込み

先行登録