Hello there, ('ω')ノ
1. 代表的な3タイプ
| タイプ | 概要 | 参加条件 | 報酬 | 初心者向き? |
|---|---|---|---|---|
| 公開(Public) | 誰でも今すぐ参加可 | 登録のみ | あり | ◎ |
| 非公開(Private) | 招待制・選抜制 | プラットフォームから招待 | あり | △ |
| VDP / 報奨金なし | 脆弱性開示ポリシーのみ | 誰でも報告可 | 原則なし/記念品のみ | ○ |
2. 公開プログラム(Public)
特徴
- プラットフォーム上で誰でも閲覧・参加できる
- スコープや報酬テーブルが完全公開
- 参加者が多く競争率は高め
メリット
- 初心者でも気軽に挑戦できる
- 事例やWrite-upが多く学びやすい
- 実績を公開プロフィールに積み上げやすい
デメリット
- 重複(Duplicate)が多く報告が通りにくい
- 報酬が比較的低めになる傾向
まずはここから! 経験・スコアを貯める“登竜門”と考えればOK。
3. 非公開プログラム(Private / Invite Only)
特徴
- 参加にはプラットフォームからの招待が必要
- 企業側は限られたハンターだけに開示するため、情報非公開
- 報酬が高い or スコープが広い案件が多い
招待される基準(例)
| 基準 | 目安 |
|---|---|
| プラットフォームの信頼スコア | 90以上 |
| 有効レポート数 | 5件以上 |
| 迅速なレスポンス | 平均返信1日以内 |
メリット
- 競争率が低く “初見バグ”に当たりやすい
- 報酬も高水準
デメリット
- 招待まで時間がかかる
- 高難度で即戦力を求められる場合が多い
公開→非公開への“ステップアップ” が王道ルート。
4. VDP(Vulnerability Disclosure Program)/報奨金なし
特徴
- 企業が「脆弱性報告の窓口」だけを用意
- 金銭報酬は原則なし
- 感謝状・スワッグ(Tシャツやステッカー)などが贈られることも
メリット
- 報酬競争がなく精神的にゆったり
- 「Responsible Disclosure」の練習になる
- 社会貢献・ポートフォリオ作りに最適
デメリット
- 金銭的モチベーションは期待できない
- 報告後のレスポンスが遅めのケースも
初心者が“実戦練習”を積む場として活用すると◎。 ただし、本格的に稼ぎたい人は有償プログラムと並行が吉。
5. 番外編:ハイブリッド型
- 時間限定バグバウンティ(イベント形式・24hスプリント)
- 社内限定プログラム(従業員だけが参加)
- ターゲット制(targeted bounty):特定機能だけ高額報酬
案件ごとの条件が個性的なので、事前説明をよく読むことが成功のカギです。
6. 選び方ガイド
経験ゼロ〜少なめ
- 公開プログラム or VDP
- 「重複OK、まずは1レポート」精神で挑戦
実績が5〜10件ほど
- 公開で高単価案件に挑戦
- 招待メールが来たら非公開へトライ
上級者・専門分野あり
- 非公開案件を主戦場に
- ブロックチェーン特化のImmunefiなど高額領域で稼ぐ
まとめ:タイプを理解して“ロードマップ”を描こう
- 公開 → 非公開 → 高額特化 と 段階的にレベルアップ
- VDPはスキル磨きと社会貢献の場
- まずは 「自分の現状 × プログラム特性」 を合わせて選ぼう
タイプが変われば、戦い方も変わる。 自分に合うフィールド を選んで、着実にステップアップしましょう!
Best regards, (^^ゞ
