自己紹介

KINTOテクノロジーズにて主にプロダクトセキュリティ、セキュリティガバナンス業務に携わっている森野です。
RB大宮アルディージャとちいかわが好きです。
ここ10年はサイバーセキュリティ、情報セキュリティに関する仕事に携わっています。それ以前はWebアプリケーションエンジニアとしてWeb効果測定システムやECサイトのフロントエンドシステムの開発、運用に長く携わっていました。
本記事では当社のVDP(Vulnerability Disclosure Program)カイゼン活動について紹介させて頂きます。

VDP(Vulnerability Disclosure Program)とは

企業や組織が外部のセキュリティ研究者やホワイトハッカーから脆弱性の報告を受け取るための制度です。
2023年10月に楽天グループが公開サーバーに「security.txt」を配置しVDPを開始した事で世間の認知度が向上しました。

参考：楽天が公開サーバーにテキスト設置、セキュリティー向上に役立つ「security.txt」

security.txtとは

2022年4月に「RFC 9116：A File Format to Aid in Security Vulnerability Disclosure」として企業や組織が脆弱性の開示方法を説明しセキュリティ研究者などが発見した脆弱性を報告しやすくするために定義されたものです。
2023年11月に当社もsecurity.txtを配置しました。

security.txt設置後の反応

報奨金の有無を確認する問い合わせが殆どで（当社は報奨金制度は提供していない）、KINTO/KTCの脆弱性情報を持っているのか否か不明な報告が多く寄せられました。

ホワイトハッカーからの報告キタ━(ﾟ∀ﾟ)━!

2024年8月に当社サービスに存在する脆弱性の報告がありました。私たちのグループで報告内容を検証した結果、事実であることが確認できたため開発グループに依頼して脆弱性を修正しました。

VDPのカイゼン

VDPの意義を実感できた一方、下記の課題感があったため、Issue Hunt社が提供しているVDPサービスの活用を2024年11月から開始しました。

• 懸賞金の有無などVDPガイドラインの提示
• 報告対象となるWebサービスやアプリケーションの提示
• 報告テンプレートの提示

開始から2025年3月7日現在、6件の報告があり内2件は対応が必要な脆弱性と判断して修正を行いました。予想以上の成果に正直驚いています。

Issue Hunt社のサイトに導入事例として当社が紹介されているので宜しければそちらもご覧ください。

セキュリティ向上の新常識！車サブスク業界におけるVDP導入の成功事例

P3NFEST Bug Bounty 2025 Winterへのプログラム提供

前述の通り、当社では報奨金制度は提供していません。
しかし、報奨金制度の効果検証および将来のインターネットの安全を担う学生を応援することを目的にIssue Hunt社主催の学生向けバグバウンティプログラムにプログラムを提供することにしました。

バグバウンティ対象のサービスは以下の通りです。

• KINTOテクノロジーズコーポレートサイト
• KINTO Tech Blog（当サイト）

開催期間は2025年2月17日(月)から2025年3月31日(月)までです。

詳細はイベント情報ページをご覧ください。学生の皆さんの挑戦をお待ちしております。
P3NFEST Bug Bounty 2025 Winter