本連載「サイバーセキュリティ未来考」では、注目のキーワードを読み解きながら、企業や組織におけるセキュリティ対策のこれからを占う。
企業で採用が広がる「脆弱性報奨金制度」
「脆弱性報奨金制度」とは、製品やサービスを提供する企業が、それらに存在する脆弱性を発見してもらう制度のこと。「バグバウンティ」や「バグ報奨金制度」と呼ばれることもある。以前から脆弱性を発見してメーカーなどへ報告する「ホワイトハッカー(善意のハッカー)」は存在したが、報酬を受け取ることができる仕組みがなく、報告できる公的な機関も少なかったことから、SNSやブログで公開するケースもあった。
脆弱性報奨金制度の歴史は古く、1995年にウェブブラウザを開発するNetscapeが最初に実施したといわれている。このときはノベルティグッズが景品として贈られたが、その後は本格的なハッキングコンテストを開催し、高額な賞金が贈られるようになった。ただし当時、脆弱性報奨金制度を採用する企業は少なく、一般的に広がったのはここ4~5年といえる。現在ではハッキングコンテストといったイベントとしての開催のほか、期間を設定して実施するケースや、常に報告を受け付けるケースも多くなっている。
例えばサイボウズは、2014年に脆弱性報奨金制度を導入し、同社のパッケージ製品とクラウドサービスを対象として、期間限定で実施している。特に提供中のクラウドサービスに対して脆弱性検査を行うと本番のサービスに影響が生じる可能性があるため、同社では検証用の「脆弱性検証環境提供プログラム」も用意している。同社や関連会社の社員ではなく、日本語または英語で同社の「Cy-SIRT」とコミュニケーションができ、検証環境にアクセスするための機材を用意すれば、誰でも参加できる。
脆弱性報奨金制度の流れ(出典:サイボウズ)
報奨金は1件当たり1000円から最大50万円となっており、1件の報告から複数の脆弱性が検出された場合の金額上限は100万円。ただし、キャンペーン期間中は金額が異なっている。一般的に報奨金は、「Forum of Incident Response and Security Teams(FIRST:CISRTの国際的な組織)」が管理母体となっている共通脆弱性評価システム「CVSS v3」の基本値に基づき、深刻度が高いほど報奨金も高額になる。
「脆弱性報奨金制度」を採用するメリット
脆弱性報奨金制度が急速に広がった背景には、ソフトウェアのサービス化によって開発サイクルが早くなったことが挙げられる。そもそもソフトウェア製品は、従来の(IoT化されていない)家電製品などと異なり、提供後も修正やアップデートが可能だ。これにより、新たな機能を追加したり、不具合を修正したりできる。特にクラウドサービスでは、この傾向が顕著となる。
開発側は一定のサイクルに沿って開発を行っているが、機能強化などにより、検証に時間がかかる一方で、人的リソースが足りないという現状もある。そこで脆弱性報奨金制度を利用し、開発時には図していなかった使い方によって発生する不具合や、脆弱性などを発見できる機会が増える。特にクラウドサービスでは、発見された脆弱性を迅速に解消できれば、ユーザーに安定したサービスを提供できる。
また、脆弱性報奨金制度を利用して、製品やサービスを外部の目でチェックすることができる。しかも、脆弱性を発見する側には報奨金という具体的なモチベーションがあるため、短い期間で脆弱性が発見される傾向にある。企業には、こうして発見された脆弱性を分析していくことで、開発における思わぬ課題を発見でき、開発体制をより強く、また、効率化できるメリットがある。
さらに脆弱性報奨金制度を導入していることは、情報セキュリティへの意識の高さを内外にアピールできるというメリットもある。短期集中的な脆弱性報奨金制度を実行し、報告された脆弱性に対応していくことで、コスト面での効果も期待できる。