Salesforceは、同社製品の脆弱性を発見した善意の「エシカルハッカー」に対し、2021年に合計280万ドル(約3億2000万円)以上の報奨金を支払ったことを明らかにした。
2021年、Salesforceに寄せられた脆弱性報告は4700件を超え、支払われた報奨金の最高額は3万ドル(約340万円)だった。
Salesforceの脆弱性報奨金プログラムは2015年にスタートした。これまでに支払われた報奨金は総額約1220万ドル(約14億円)で、950万ドル(約11億円)以上は2019年以降のものだという。受理された報告は約2万2200件に上る。
このプログラムを通じて寄せられたデータは、Salesforceのエンジニアチームが「悪意のあるハッカーの傾向や手法をより良く理解する」ために活用されていると、同社のソフトウェアエンジニアAnup Ghatage氏は説明する。
「ハッカーが脆弱性の発見に使っている方法を理解し、同じ方法を使ってソフトウェアの安全性を高められるようになった」とGhatage氏は言う。
Salesforceは製品や機能を社内でテストした後、善意のハッカーに依頼して、サンドボックス内でセキュリティ機能をテストしている。
例えば、「Trailhead Slack App」の開発では、2021年9月のリリースに先立つ8月に報奨金プログラムが実施された。このプログラムに参加したハッカーの1人、Inhibitor181氏は開発者としてキャリアをスタートさせた後、善意のハッキングを始めたという。
「自分のプログラミング技術を使ってグローバル企業の製品を合法的にハッキングするのは刺激的でおもしろい。しかも、サイバー犯罪の防止にも貢献できる。すべてのハッカーが悪者ではない」とInhibitor181氏は言う。
2021年10月、GoogleとSalesforceはベンダー中立的なサイバーセキュリティベースライン「MVSP(Minimum Viable Security Product)」の策定を発表した。これはサードパーティーベンダーの「セキュリティ水準を高めつつ、審査プロセスを簡素化する」ための取組みだと両社は述べていた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
