NTTはなぜ、脆弱性報奨金制度に取り組むのか――「バグバウンティ」の意義（Why）、そして実践（How）

　インターネット技術を語るイベント「Internet Week 2025」において11月25日、「通信事業者におけるバグバウンティ」と題した講演プログラムが予定されている。同プログラムの企画を担当した、Internet Week 2025プログラム委員会・委員の村椿愛奈さん（一般社団法人ICT-ISAC/ニフティ株式会社）に、その意図や背景を伺った。

• 11月25日（火）17:00～18:30
  通信事業者におけるバグバウンティ

――このプログラムを企画した背景や狙いを教えてください。

Internet Week 2025プログラム委員会・委員の村椿愛奈さん（一般社団法人ICT-ISAC/ニフティ株式会社）

　サイバー攻撃が高度化・巧妙化する中、従来のセキュリティ診断や対策だけでは防ぎきれない未知の脆弱性リスクへの対応が、多くの企業にとって喫緊の課題となっています。

　こうした背景から、セキュリティ強化の手法として「バグバウンティ（脆弱性報奨金制度）」を推進する動きが活発化しています。内部の視点だけでは見つけにくい脆弱性を早期発見できる強みがあり、企業がセキュリティ対策を強化する1つの有効な手段です。

　ただ、現状導入している国内企業も少ないと感じていたため、制度を導入しているNTTグループの話や、バグバウンティ制度で脆弱性発見に貢献している方の話を聞いてみたいと思ったことが発端です。

――講演者を選ぶ際に、どのような点を重視されましたか？

　今回、株式会社NTTデータグループの新井悠氏、そして新井氏にご紹介いただいたNTT株式会社の鳴海貴允氏のお二方にご登壇いただけることになり、結果として、バグバウンティというテーマを多角的に解説するうえで、非常に厚みのある構成が実現しました。

　NTTデータグループの新井氏には、AIを活用した脆弱性発見という技術的な実践（How）の最前線をご紹介いただきます。そこへNTTの鳴海氏が加わってくださったことで、通信事業者という社会インフラを担う立場からの制度運営の意義やメリット（Why）という、プログラム参加者が気になるポイントも網羅できました。

　バグバウンティの「意義」と「実践」という、まさに両輪と言うべきお話が一度に伺えるこの構成は、導入を検討されている方から技術者の方まで、全ての参加者にとって大変価値のある機会になると思います。

――プログラムの中で、特に注目してほしいポイント・見どころは？

　今回のプログラムで特に注目していただきたいポイントは、前半の鳴海氏のセッションと、後半の新井氏のセッションが、バグバウンティの意義（Why）と実践（How）となっており、両方を聞いてバグバウンティ導入の魅力が分かるという点です。

　まず前半、NTTの鳴海氏のセッションでは、「なぜ社会インフラであるNTTがバグバウンティに取り組むのか？」という、制度の戦略的な意義や導入メリットが語られ、導入を検討されている企業や組織の皆様の参考になると思います。ぜひ、「自社であれば、どのような目的やメリットを見出せるか？」と考えながらお聴きください。

　そして後半、NTTデータグループの新井氏のセッションでは、AIを活用して具体的にどう脆弱性を見つけるのかという技術的実例とともに紹介されます。こちらは、セキュリティ技術者や開発者の皆様にとって、非常に刺激的で具体的な学びが得られるポイントです。

――今年のInternet Weekのテーマ「挑戦×経験×世代　～フルスタックで“不確実”の先へ」にはどのようにリンクしていますか？

　バグバウンティ自体が、日々巧妙化するサイバー攻撃という「不確実」な脅威に対し、外部の知見を取り入れて立ち向かう先進的な「挑戦」であると考えています。

　鳴海氏が語る制度設計やガバナンス（戦略）と、新井氏が語るAIを活用した脆弱性発見（技術）は、セキュリティを担保するうえでどちらも欠かせない要素です。まさに「フルスタック」を投入してセキュリティ強化をしていると言えます。

――このプログラムは、どんな方に特にお勧めですか？

　本プログラムは、非常に幅広い層の方々にお勧めできます。

　まず特にお勧めしたいのは、企業のセキュリティ担当者やCISO（最高情報セキュリティ責任者）の方々です。鳴海氏による「制度導入の意義やメリット」のお話は、自社でバグバウンティを導入・検討するうえで、とてもよい参考になるはずです。

　同時に、セキュリティエンジニアや脆弱性診断に関わる技術者、開発者の方々にも強くお勧めします。新井氏によるAIを活用した実践例は、スキルアップに繋がる知見が得られると思います。

　一方で、バグバウンティという言葉を初めて聞いたというセキュリティに詳しくない方でも、セキュリティの専門知識がなくても、最新の防御トレンドを理解する絶好の機会です。セキュリティの最前線に触れる第一歩として、ぜひご参加ください。

――最後に、参加を検討している方へのメッセージをお願いします。

　サイバー攻撃という不確実な脅威が日々増大する中、セキュリティはもはや一部の専門家の課題ではありません。今回のプログラムは、その最前線で挑戦を続けるNTTグループのお二人から、非常に貴重なお話を同時に伺える、またとない機会です。

　バグバウンティという言葉になじみがない方や、技術的な専門知識に自信がない方でも、ぜひご参加ください。なぜ今、こうした取り組みが必要とされているのか、その意義を知ってもらえればと思います。

　お二人の経験から語られるリアルな言葉は、皆さんが不確実の先へ進むための、力強いヒントと勇気を与えてくれると確信しています。セキュリティの未来をともに考える貴重な時間を、ぜひ会場でご一緒できることを楽しみにしています。

――ありがとうございました。

「Internet Week」は、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）が主催する、インターネットの技術や最新動向を語るイベント。29回目となる今年は「挑戦×経験×世代 ～フルスタックで“不確実”の先へ」をテーマに開催される。

11月18日～20日が「オンラインWeek」としてオンライン配信、11月25日～27日が「カンファレンスWeek」としてKFC Hall & Rooms（東京都墨田区横網1-6-1）でのリアル開催となっており、基本料金1万6500円で全てのプログラムに参加可能（懇親会を除く）。参加申し込みは、同イベントの公式サイトで受け付けている。

なお、30歳以下の学生は基本料金が無料。また、今年初めてInternet Weekに参加する人を対象に、オンラインWeekの全プログラムとカンファレンスWeekの1つのプログラムに参加できる、4950円のお試し料金も設定されている。