Shikata Ga Nai

Private? There is no such things.

第15回:自分に合ったプログラムの見つけ方・選び方のコツ

Hello there, ('ω')ノ

1. まず“自分の現在地”を可視化しよう

観点 自己チェック例
技術レベル 「XSSの再現コードが書ける」「BurpでCookie改ざんまで試せる」など
使える時間 週3時間? それとも週末集中?
関心分野 Webアプリ / モバイル / API / ブロックチェーン…
報酬目標 月数千円の副収入? それとも本業レベル?

ゴールが決まると、選ぶ基準も明確になります。


2. 公開・非公開、まずは 公開プログラム から

  • 公開 (Public) … 誰でも今すぐ参加可。⭕

  • 非公開 (Private/Invite Only) … 実績やスコアが一定以上で招待。🔒

初心者は“公開”一択 最初は競争率が高くても、動きやすさ・学びやすさが段違いです。


3. スコープを読む3つの着眼点

着眼点 見るべき記述 何を判断する?
① 広さ *.example.com か、一部サブドメインだけか 調査量=作業時間
② 種類 Web / モバイル / IoT / API 自分の得意分野と合うか
③ 更新頻度 「毎月ホスト追加」と書かれているか ネタ切れしにくいか

4. 報酬テーブルより 平均承認率 を見る

  • 高額バウンティでも、承認率(duplicate率)が高いと結局ゼロ円。
  • プラットフォームの統計で “Valid/Resolved” の割合が高い案件は 企業のレスポンスが良い 証拠です。

5. 競争率は “リワード中央値 ÷ レポート総数” でざっくり推測

  • 低いほど「小粒でも数が出る」= 練習向き
  • 高いほど「当たればデカいが、重複しやすい」

数字はあくまで目安。最初は練習>報酬 と割り切るのが長続きのコツです。


6. “好きなサービス” から始めると学習効率アップ

  • 日頃使っているアプリやプラットフォームは UIやビジネスロジックを理解しやすい
  • 不具合に気付きやすく、バグの再現もスムーズです。

7. プログラム比較チェックシート(サンプル)

項目 プログラムA プログラムB
公開/非公開 公開 公開
スコープ *.shop.com api.service.io
自己スキルとの親和性 ◎ (Web+JS) ○ (REST API)
初回報酬目安 5,000〜30,000円 10,000〜50,000円
承認率 78% 45%
企業レスポンス 3日以内 10日以内
参加決定?

1〜2社に絞り、「まずは1件報告してみる」 ことを最優先にしましょう。


8. 迷ったら コミュニティの声 を頼る

  • HackerOneの「Hacktivity」やDiscord/Slackのハンターコミュニティには 生の体験談 が多数。
  • 「○○社はレス早い」「バグ埋もれがち」など、数字では見えない情報が得られます。

9. 選定後のTODO

  1. スコープ全ドメインを Reconツールでリスト化
  2. テスト用アカウントを作成
  3. 30分だけ触って 「見込みがなさそう」なら即撤退
  4. 別プログラムで再挑戦 ➡ 回転率を上げると経験値が倍速に

まとめ:“自分に合う” = 続けやすい

  • 報酬額よりも 承認率・レスポンス・スコープ適合度 を重視
  • 好きな分野で小さく実績 → 非公開や高額案件へステップアップ
  • 合わないと感じたら早めに切り替え、モチベーションを保つ

「当たり案件」を探すより、 自分が“当たり”を出せる案件 に出会うことが成長への近道です。

Best regards, (^^ゞ