サイバーセキュリティ未来考

メリット多き「脆弱性報奨金制度」--健全なハッカー育成にも寄与

吉澤亨史 2017年12月26日 06時00分

  • このエントリーをはてなブックマークに追加

企業で採用が広がる「脆弱性報奨金制度」

 「脆弱性報奨金制度」とは、製品やサービスを提供する企業が、それらに存在する脆弱性を発見してもらう制度のこと。「バグバウンティ」や「バグ報奨金制度」と呼ばれることもある。以前から脆弱性を発見してメーカーなどへ報告する「ホワイトハッカー(善意のハッカー)」は存在したが、報酬を受け取ることができる仕組みがなく、報告できる公的な機関も少なかったことから、SNSやブログで公開するケースもあった。

 脆弱性報奨金制度の歴史は古く、1995年にウェブブラウザを開発するNetscapeが最初に実施したといわれている。このときはノベルティグッズが景品として贈られたが、その後は本格的なハッキングコンテストを開催し、高額な賞金が贈られるようになった。ただし当時、脆弱性報奨金制度を採用する企業は少なく、一般的に広がったのはここ4~5年といえる。現在ではハッキングコンテストといったイベントとしての開催のほか、期間を設定して実施するケースや、常に報告を受け付けるケースも多くなっている。

 例えばサイボウズは、2014年に脆弱性報奨金制度を導入し、同社のパッケージ製品とクラウドサービスを対象として、期間限定で実施している。特に提供中のクラウドサービスに対して脆弱性検査を行うと本番のサービスに影響が生じる可能性があるため、同社では検証用の「脆弱性検証環境提供プログラム」も用意している。同社や関連会社の社員ではなく、日本語または英語で同社の「Cy-SIRT」とコミュニケーションができ、検証環境にアクセスするための機材を用意すれば、誰でも参加できる。


脆弱性報奨金制度の流れ(出典:サイボウズ)

 報奨金は1件当たり1000円から最大50万円となっており、1件の報告から複数の脆弱性が検出された場合の金額上限は100万円。ただし、キャンペーン期間中は金額が異なっている。一般的に報奨金は、「Forum of Incident Response and Security Teams(FIRST:CISRTの国際的な組織)」が管理母体となっている共通脆弱性評価システム「CVSS v3」の基本値に基づき、深刻度が高いほど報奨金も高額になる。

「脆弱性報奨金制度」を採用するメリット

 脆弱性報奨金制度が急速に広がった背景には、ソフトウェアのサービス化によって開発サイクルが早くなったことが挙げられる。そもそもソフトウェア製品は、従来の(IoT化されていない)家電製品などと異なり、提供後も修正やアップデートが可能だ。これにより、新たな機能を追加したり、不具合を修正したりできる。特にクラウドサービスでは、この傾向が顕著となる。

 開発側は一定のサイクルに沿って開発を行っているが、機能強化などにより、検証に時間がかかる一方で、人的リソースが足りないという現状もある。そこで脆弱性報奨金制度を利用し、開発時には図していなかった使い方によって発生する不具合や、脆弱性などを発見できる機会が増える。特にクラウドサービスでは、発見された脆弱性を迅速に解消できれば、ユーザーに安定したサービスを提供できる。

 また、脆弱性報奨金制度を利用して、製品やサービスを外部の目でチェックすることができる。しかも、脆弱性を発見する側には報奨金という具体的なモチベーションがあるため、短い期間で脆弱性が発見される傾向にある。企業には、こうして発見された脆弱性を分析していくことで、開発における思わぬ課題を発見でき、開発体制をより強く、また、効率化できるメリットがある。

 さらに脆弱性報奨金制度を導入していることは、情報セキュリティへの意識の高さを内外にアピールできるというメリットもある。短期集中的な脆弱性報奨金制度を実行し、報告された脆弱性に対応していくことで、コスト面での効果も期待できる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算