
セキュリティ分野における集団知性――コミュニティ主導のバウンティおよび監査市場
TechFlow厳選深潮セレクト

セキュリティ分野における集団知性――コミュニティ主導のバウンティおよび監査市場
バグバウンティと監査コンテストとは何か? なぜそれらが必要なのか?
著者:Ray, IOSG Ventures
はじめに
ブロックチェーンは大規模なコンピュータシステムとして、現在のシステムの複雑さは5年前と比べてはるかに進化しています。インフラのモジュール化がより精緻になり、アプリケーション層のスマートコントラクトロジックはますます豊かになり、コントラクト間の相互作用も非常に頻繁です。さらに重要なのは、ブロックチェーンシステムが管理する資産額がすでに非常に巨大になっていることです。そのため、最近ではブロックチェーンセキュリティコミュニティにおいて、セキュリティサイクルに関する議論も増えてきました(2017年当時のように、開発者がコントラクトを書いた後、単にイーサリアム財団の知り合いに見てもらって基本的なテストをするだけという状況とは大きく異なります)。

ブロックチェーンプログラムの全体的なセキュリティライフサイクル(テスト、第三者監査の依頼、事後モニタリング、更新監査を含む)の中で、バグバウンティコミュニティはゲーム理論と集団作業の形でホワイトハットたちを引き寄せ、プロジェクト側のコードに対する最後の審査機会としての安全網のような役割を果たしています。また、スマートコントラクトのセキュリティ担当者の中には、バグバウンティこそが防衛ラインの最終守護者だと考える人もいます。しかし私は、バグバウンティや監査コンテストは今後さらに大きな価値を発揮し、セキュリティライフサイクル全体を通じてシステムの安全性を向上させる中核的役割を担えると考えています。
もちろん、従来のサイバーセキュリティ分野でもバグバウンティ(Bug Bounty または Vulnerability Rewards)は存在します。まず、Facebook、Google、Microsoftなどの大手テック企業は、自社の内部セキュリティチームや製品ラインに対してバウンティプログラムを展開しています。また、2015年頃からHackerOneやBugcrowdといった第三者バグバウンティプラットフォームが登場しました。現在、これら2社の先進的なセキュリティ企業は、バウンティ報酬からの手数料収入を主なビジネスモデルとしており、年間売上高はそれぞれ約5000万ドル、2000万ドルに達しています。一方、ブロックチェーンの世界では、バグバウンティはセキュリティコミュニティでよく話題になるもっと興味深いテーマです。その主な理由は、ブロックチェーンのコードがオープンソースであるため、ハッカーによる攻撃および攻撃戦略の強化コストが低く抑えられる点に加え、Crypto界隈が強く推奨する「集団作業」「クリエイター経済」「所有権経済」「オープンな貢献モデル」などが、より開放的なホワイトハット経済モデルの価値を高めているからです。
バグバウンティと監査コンテストとは?なぜそれが必要なのか?
セキュリティとは、攻撃側と防御側のダイナミックな駆け引きのプロセスです。コンピュータセキュリティの専門家であり暗号学者でもあるブルース・シュナイアーが述べたように、「セキュリティとは製品ではなくプロセスである。ソフトウェア開発のあらゆる局面に貫徹されるべき思考法なのだ」と。ブロックチェーンの世界はすべてのコードがオープンで透明な「暗黒の森」ですが、長期的に生き残ろうとするプロジェクトにとって、自らの製品/コントラクトの安全性に対する永遠のニーズがあります。多くのブロックチェーン製品は金融的な要素を何らかの形で持っています。そして金融における最も重要な資産は信頼であり、ユーザーの信頼は一度失えば取り返せません。
では、従来の監査の欠点や課題は何でしょうか?コミュニティ主導のバグバウンティや監査コンテストは、これらの問題をどう補完できるのでしょうか?

監査サービスを利用する開発者によく見られるのは次の通りです:
-
第三者監査会社のサービスを利用しても、コードが監査されたにもかかわらず問題が発生することがあります。原因はさまざまで(技術的・非技術的要因がある)、結局のところ、一つの監査会社に依存するだけでは完全に信頼できるわけではないことを示しています。コード監査の品質は監査者の能力に左右されますが、クライアントは「どちらが優れているか」を見極める能力に乏しいことが一般的です。
-
一方、バグバウンティプラットフォームや監査コンテストは、よりオープンな「サンドボックス」として機能します。プロジェクトのコードはホワイトハットによって自由に審査でき、参加者のバックグラウンドも問われず(専門監査会社所属の人もいれば、フリーランスのセキュリティアナリストもいる)、使用ツールも制限されません。クライアントが行うのは適切な報酬金額を設定し、ホワイトハットが問題を発見した際にその貢献に対価を支払うことだけです。
-
通常、クライアントは自分がホワイトハットに審査してほしいコードを提出し、脆弱性のセキュリティレベル(通常は発生しうる経済的損失に関連付けられ、経済的損失を直接引き起こしやすいほど深刻度が高い)や、バウンティ予算、対象となるコード範囲、さらにはテスト手順まで定義します。
市場規模はどのくらいか?

バグバウンティプラットフォームや監査コンテストのビジネスモデルは、クライアントが支払うバウンティ報酬や設置する総賞金プールから一定の割合をプラットフォーム手数料として受け取ることです。コードのセキュリティ監査を必要とするクライアント(プロジェクト側)は、自身のニーズ(どのコードを監査対象にするか、脆弱性の深刻度の定義方法、支払可能なバウンティ額など)に基づき、バグバウンティプラットフォーム上で計画を公開します。ホワイトハットはプロジェクト側の要件に従って脆弱性を探し出し、発見された脆弱性が要件を満たせば、バウンティが支払われます。その際、バグバウンティプラットフォームはその報酬から手数料を差し取ります。
Web2の従来型サイバーセキュリティ領域では、バグバウンティプラットフォームも比較的新しい分野(2012年以降に登場)です。現在最大のバグバウンティプラットフォームはHackerOneとBugcrowdです。2022年、HackerOneの年間売上は5800万ドルに達し、企業評価額は約5億ドルとなりました。累計支払ったバウンティ総額は2.3億ドル(2021~2022年の2年間で1.5億ドル)、発見されたソフトウェア脆弱性は65,000件以上、登録ハッカー数は100万人以上、毎月HackerOneサービスを利用する顧客数は1000社以上です。競合のBugcrowdは2022年に2000万ドル以上の売上を記録しました。
Web3セキュリティ分野では、2022年にすべてのWeb3バグバウンティおよび監査コンテストプラットフォームがホワイトハットハッカーに支払ったバウンティ総額は5000万ドルでした。こうしたプラットフォームの平均手数料は10%~30%程度であるため、保守的に見積もって現在の市場規模は500万~1500万ドル程度と推定され、非常に新興の市場です。
もう一つ注目すべき点は、越来越多のクライアントが、このような分散型セキュリティコミュニティが提供するコード監査サービスを直接利用したいと考えていることです。最も有名な例は、Openseaが新プラットフォームSeaportをリリースする際、従来通りに第三者監査会社に依頼するのではなく、現在最大の分散型監査コンテストプラットフォームCode4Renaを選択し、100万ドルの賞金プールを設定したことです。今日の伝統的なセキュリティ監査市場は人材、技術ツール、営業活動の面で過当競争が激しくなっています。こうした中で、分散型セキュリティサービスはこの市場にとって重要な成長ドライバーとなるでしょうか?(現時点で56社の監査会社があり、トップ企業の年間売上は1000万~4000万ドル程度。分散型セキュリティ市場の可能性は非常に大きいと考えます)。
バグバウンティプラットフォーム vs 監査コンテストプラットフォーム
バグバウンティプラットフォームはWeb2でも10年ほどの歴史がありますが、監査コンテストプラットフォームはWeb3ネイティブの新しい概念です。監査コンテストのサービス対象は、製品や新機能を間もなくリリースしようとしているプロジェクトチームであり、特定の期間(2週間以上)にわたって分散型コミュニティの力を借りて監査を完了させます。この観点から見ると、監査コンテストは従来の監査会社に相当な商業的脅威を与えることになります。
以下では、参加方法、報酬構造、テストカバレッジの3つの観点から、2種類のプラットフォームの違いを紹介します:
参加方法
バグバウンティプラットフォーム(例:Immunefi)では、通常オープン形式のプロジェクトが多く、誰でもいつでも参加できます。参加者は独立して脆弱性を探し報告することで報酬を得ます。同じ脆弱性を二人が発見した場合、原則として先に報告した方が報酬を受け取ります。
コミュニティ主導の監査コンテストプラットフォーム(例:Code4rena、Sherlock)は通常、時間制限があり、参加者は一定期間内に競い合って脆弱性を見つけ、報告します。バウンティプラットフォームと異なり、チームでの協力が一部行われます(各プロジェクトには明確にシニア監査リードとジャッジリードが割り当てられ、すべての監査結果を審査・整理・まとめ、最終レポートをクライアントに提出します。また、これらのリーダー職はコミュニティ選挙やコンテスト競争といった分散型の原則に従って選出されます)。また、規定時間内に同じ脆弱性を2人が発見した場合、両者とも報酬を受け取ることができます。
報酬構造
両者の実際の報酬支払いは、発見された脆弱性の深刻度を主な考慮要素とします。
唯一の違いは、Code4Renaのようなコミュニティ主導の監査コンテストプラットフォームでは、各プロジェクトの賞金プールの一部(5%~10%)が固定でシニア監査リードとジャッジリードに割り当てられることです。彼らは伝統的な監査会社のプロジェクトマネージャーのような役割を担っているからです。
もう一つの興味深い点は、バグバウンティプラットフォームでは、プロジェクト側がプロジェクトのトークンを報酬として提供することもありますが、コミュニティ内にはUSDCやUSDTなどのステーブルコインを、価格変動のあるプロジェクトトークンよりも好むホワイトハットハッカーもいるということです。
範囲と重点
バグバウンティプラットフォームのプロジェクトは通常、範囲が広く、監査コンテストのプロジェクトはより焦点を絞った範囲を持ち、ソフトウェアの特定の機能や側面に特化しており、ホワイトハットが短期間で集中して作業を完了させる必要があります。

監査コンテストに特化したプロジェクト
Code4Rena - 電子競技のようなコミュニティ主導の監査コンテストプラットフォーム
Code4Renaには3種類の役割があります:
1. 監査員(Wardens):コードを審査します。専門のセキュリティエンジニアから、経験を積みたい初心者開発者まで、誰でも登録して監査員として公開コンテストに参加できます。
2. 審査委員(Judges):通常はC4コミュニティ内で最も優秀なエンジニアです。脆弱性の深刻度、有効性、品質を決定し、監査員のパフォーマンスを評価します。
3. スポンサー(Sponsors):プロジェクト側(Opensea、Blur、ENS、Chainlinkなど)で、監査員に自社プロジェクトのコードを監査してもらうために賞金プールを設立します。スポンサーはプライバシー保護のため、招待制の非公開コンテストを開催することも可能です。
最も興味深い点は、Code4Renaが築きつつある文化です。それは、協力とチームワークを奨励する文化です。従来のバグバウンティプログラムとは異なり、Code4Renaは、有効な脆弱性を報告したすべての監査員に報酬を支払います(その脆弱性が既に報告されていた場合でも)。この仕組みにより、監査員同士の健全な競争が促進され、高深刻度かつ一般的な脆弱性を探すモチベーションが生まれます。このプラットフォームでは、いくつかの監査員が一時的なチームを組んで共同で脆弱性を探し出すこともあります。
ビジネスモデル:
どのプロジェクトでもCode4renaで監査コンテストプログラムを開始でき、USDCまたはETHで基礎賞金プールを設置できます(通常、賞金プールの規模は4万~10万ドル)。Code4renaは基礎賞金プールから20%を手数料として受け取り、プラットフォームはコンテストの運営、審査の提供、最終レポートの整理と審査といったサービスを提供します。プロジェクト側は基礎賞金プールに加えて、追加の賞金プールとして自社トークンを提供することもでき、Code4renaはその追加プールから40%の手数料を徴収します。
Sherlock - スマートコントラクト保険付きのコミュニティ主導監査
Code4renaと同様に、Sherlockにも監査員、スポンサー、審査委員といった役割があります。Sherlockの独自性は、プラットフォームが提供する保険サービスにあります。誰でもSherlockプラットフォーム上の保険プールに投資でき、投資家はUSDCを保険プールに預け入れ、プロトコルの顧客はサービスを購入してスマートコントラクトがハッキングされるリスクに対処できます。保険投資家の収益源は以下の通りです:プロトコル顧客から支払われる保険料 + 保険プール資金を他のDeFiプール(Aave、Compoundなど)に預けることで得られる利子 + Sherlockトークンによるインセンティブ。ただし、投資家は利益を得る一方で、保険金支払いのリスクも負います。
Code4renaとのもう一つの違いは、監査サービス報酬の分配メカニズムにあります。Code4renaと比べ、Sherlockは首席シニアセキュリティ監査員と首席審査委員が賞金プールから固定金額(5%~10%)を受け取れるルールを設けており、専任の上級監査員への適切な報酬とインセンティブを確保しています。また、リーダー役職の選抜には選考と競争制度が導入されています。
ハッカー社区をどう構築するか?Web3のホワイトハットたちが最も気にしていることは?
我々はさまざまな分散型セキュリティコミュニティ(Immunefi、Hats Finance、Code4Rena、Sherlockなど)を調査し、いくつかのセキュリティ起業家とも話し合いました。その結果、すべての分散型プラットフォームが取り組んでいるのは、より健全で効率的なコミュニケーション・コラボレーションプラットフォームの構築であると考えます。バグバウンティプラットフォームはハッカーとプロジェクトの仲介マーケットプレイスのようなもので、ハッカーの視点から彼らのニーズ(下表参照)を考慮すると同時に、プロジェクト側の最も関心のある「監査品質」も考慮しなければなりません。

出典:『バグハンターたちが見たバグバウンティエコシステムの課題と利点』
一般的なニーズに加え、Immunefiのホワイトハットコミュニティ(私が見た中で最も活発なホワイトハットDiscordコミュニティ)では、次のような興味深い話題も見られました。
例えば:
Rappieという名前のホワイトハットが、過去に発見したプロジェクトの脆弱性を公開したいと相談していました。どのようなコミュニティルールを守るべきかという質問です。(1. すでに修正された脆弱性のみを公開すること。2. 公開する情報がプロトコルやそのユーザーに悪影響を与えないよう配慮すること。機密情報を漏らさないよう注意、たとえばSQLインジェクションの脆弱性が修正された後、データベース全体の情報を公開しないこと。3. 公開前にプロジェクトチームに個別に連絡を入れること)。
Noam Yakovというホワイトハットは、あるバグバウンティプロジェクトの定義について疑問を呈しました(これはよくあることで、通常は比較的重大なセキュリティ脆弱性を発見した場合にのみバウンティが支払われるため、プロジェクト側が脆弱性のセキュリティレベルをどう定義するかはホワイトハットにとって非常に重要です。コミュニティではこうした紛争がよく聞かれます)。彼はUniwhalesのバグバウンティプロジェクトにおいて、「MEVの影響」を重大なセキュリティ脆弱性と定義している点に疑問を持ちました。最終的に皆の議論では、この記述はすべてのMEV状況に適用できるわけではないと結論づけられました。例えば、toxic order flowによってプロトコルのプール資産を根こそぎ奪うようなケースは明らかに重大なセキュリティ事故ですが、すべてのMEVがそうとは限りません(つまり、セキュリティレベルのフレームワークを定義するだけでは不十分で、通常はプラットフォーム内の仲裁者のような役割が個別のケースに介入する必要がある)。
また、「あなたがImmunefiのようなバグバウンティプラットフォームに求めるものや期待することは何か?」という非常に興味深い質問に対して、ckksecというホワイトハットは次のように答えました:1)匿名の暗号系ホワイトハットの労働収入について、請求書発行など法的な明確化を支援してほしい。2)プラットフォームはホワイトハットに対して評価システムを持つだけでなく、プロジェクトの品質も評価すべきだ。なぜならホワイトハットはしばしばプロジェクトの良し悪しを判断するために時間を費やす必要があるから。3)プロフィールを公開する意思のあるホワイトハットについては、プラットフォームがその作業プロセスを表示できるようにすべきであり、またプロジェクト側が受け取ったセキュリティ分析レポートの情報をより透明に提示することも望ましい。
ホワイトハットを支援できるツールとは?
LLMs(大規模言語モデル)やGPTの流行に伴い、最近、AIがセキュリティ監査を代替できるかどうかという話題をよく耳にするようになりました。私が話した経験豊富なセキュリティ専門家の多くは、GPTが人間の知性を直接代替するのは難しいと考えています。表面的な問題(low hanging fruit)は言語モデルで検出可能かもしれませんが、中・高リスクの問題は依然として専門家の関与が必要です。あるベテランセキュリティ専門家の話では、データ分析や動的分析といったより複雑なテストでは、人為的にプロトコルの実際のビジネスロジックに合わせて事前にセキュリティ分析テストを行い、テストの期待目標属性を明確に定義する必要があります。最も難しい部分は、適切な属性を書き、正しいテスト領域を定義することです。彼らのGPTに関する実験結果から、GPTは現時点ではこれを完全に人間に代わって行うことはできないと考えています。

もちろん、現在ではLLMがセキュリティ分析ツールの分析効率を大幅に向上させ、誤検出率を低下させることができるとする楽観的な結果も出ています:
https://twitter.com/HatforceSec/status/1671758690808913922
https://www.researchgate.net/publication/371758506_Do_you_still_need_a_manual_smart_contract_audit
この話題に関して、もう一つ興味深い非技術的視点から考えてみましょう。セキュリティ攻撃者と防御者の間には常にダイナミックな駆け引きがあり、「魔高一尺、道高一丈」です。AIは防御側だけでなく、攻撃者側にも助けとなる可能性があるでしょうか?

セキュリティは人間を中心に考える
人々は習慣的にソフトウェアを冷たく、機械的で論理的なものと考え、システムのセキュリティを高めるには分析技術や防御レベルの向上だけでよいと考えがちです。しかし、経済的インセンティブや人間の本性の視点からセキュリティ問題を考える発想が欠けています。オープンソースコードの暗黒の森において、合理的な人間の仮定に合致する分配体制を構築し、ポジティブで健全な経済インセンティブを設計することで、ブロックチェーンシステムのセキュリティに長期的に知恵を貢献したい人々をより多く惹きつける必要があります。
現在の伝統的セキュリティ監査市場は安定しており、ブランドの評判がこの分野の企業にとって最も重要な無形資産です。時間が経つにつれ、トップブランドの影響力と顧客の信頼は着実に強化されています。しかし、伝統的セキュリティ監査にも固有の問題があります(ビジネスモデルが単一で、人的資源に依存するためスケーラビリティが難しく、成長と監査品質の間でトップ企業はバランスを取らなければならず、すでにこうした限界に直面し、ブランド価値に影響が出ている企業もある)。
コミュニティ主導の監査コンテストは革新的なビジネスモデルであり、現在2大プラットフォームの顧客数は300を超えており、徐々にPMF(Product-Market Fit)を見つけ始めています。一方、バグバウンティプラットフォームはセキュリティライフサイクルにとって優れた補完手段です。こうした分散型プラットフォームがまだ特に効果的なトークンモデルを見つけられていないとはいえ、私たちはこの市場が将来的に規模拡大の成長を遂げると非常に期待しています(集団知能はまさにセキュリティ市場における攻防駆け引きの場面に非常に適しているからです)。
コミュニティ主導の監査プラットフォームは、中央集権的な監査会社に脅威を与えるでしょうか?我々は、両者は健全な競争と補完関係になると考えます。短期的には、Code4renaのようなプラットフォームが一定のネットワーク効果を獲得し、良好な実績(監査したプロジェクトのハッキング発生率が低い)を示せば、確かに中堅・中小の中央集権的会社に競争圧力をかけるでしょう。しかし長期的には、これにより中央集権的監査プラットフォームがコミュニティ主導のプラットフォームとビジネス提携を結ぶようになるかもしれません。これにより、中央集権的セキュリティ監査プラットフォームの顧客層を広げ、監査品質を向上させることにつながるからです(ちょうどかつてWeb2の大企業が社内独立運営のセキュリティバウンティプロジェクトを展開していたのが、後にHackerOneなどの第三者プラットフォームと提携したのと同じ流れです)。
コミュニティ主導型のセキュリティプラットフォームはDAO化を目指していますが(Fortaもこのカテゴリに入れられます)、現実のプロジェクト運用では次のような課題に直面しています:作業プロセスと経済的分配プロセスをより透明・公開にする方法、プロジェクト側のプライバシーとセキュリティの配慮をどう両立させるか、チームワークと個人の貢献の関係をどう明確に定義するか、利益紛争が発生した際により公平で専門的な観点から問題を解決する方法など。これらはすべて、セキュリティDAOが直面する課題です。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














