UEC Bug Bounty: 学生による学内オープンBug Bounty

抄録

電気通信大学では2019年度より，UEC Bug Bounty (UEC-BB) と呼ばれる学内Open Bug Bountyを実施している．UEC-BBは，学内情報システムを対象としたBug Bountyであり，参加者は学生である．参加者となる学生は，所定の研修や試験を受講し，CISOに学内情報システムのセキュリティ検査を許可を受ける．許可を受けた学生は，決められた期間内に各々のアプローチで自由に学内情報システムを検査し，その結果を学内CSIRTであるUEC-CSIRTに報告する．UEC-CSIRTは，学外有識者を含めた審査チームを組織し，学生からの報告を評価し，優秀な報告については表彰し報奨を出す．本論文では，UEC-BBの過去4回の実施についてまとめ，その成果を報告する．