ホワイトハッカーの教科書027（用語メモ220803）ホワイトハッカーの成長バグハンター

ホワイトハッカーの教科書027（用語メモ220803）
ホワイトハッカーの成長
バグハンター

　・バグハンターとは
公開されているプラグラムのバグや脆弱性を発見・報告する行為をバグバウンディー（bug bounty）という。そしてそれを行うものをバグバウンティーハンター（bug bounty hunter） あるいはバグハンター（bug hunter） という。

・バグハンターの特徴

メリット：脆弱性の発見に対して報奨金がもらえる。指定のルールであれば法に触れることはない。自分のペースでやれる、場所を選ばない、副業には向いている。
デメリット：脆弱性の発見に多くの時間を費やす。脆弱性を見つけられないと金銭的な見返りがない。

・脆弱性報奨金制度

脆弱性報奨金制度（バグバウンティ制度、バグバウンディープログラム）とは企業が脆弱性に関する報告をバグハンターから受け、その対価として報奨金を支払う制度。

・バグバウンティーとペネトレーションテストの違い

バグバウンティー：不定期、個人、個人に報奨金あり、多くの脆弱性が見つかる
ペネトレーションテスト：定期、会社（組織）、会社に報酬が支払われる、ソーシャルエンジニアリングも行う、ペンテスターのスキルに依存、PCI　DSS、SOC,ISO27001 をセキュリティ基準・規格を満たす脆弱性発見など

二つは大きな違いがある。
・バグハンターへのキャリアパス
ハッキングの基本技術を身に付ける→CTFやハッキング体験学習システムを通じてはハッキング応用技術を身に付ける→経験を積む→バグバウンティーに挑戦
(感想：IT技術者でもかなりのレベルだろう）