脆弱性の発見者に報奨金!企業名と報酬金額を徹底比較|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. 脆弱性の発見者に報奨金!企業名と報酬金額を徹底比較
             

脆弱性の発見者に報奨金!企業名と報酬金額を徹底比較



最近はソフトウェアやインターネットサービスの脆弱性に起因する問題があとを絶ちません。2015年5月の日本年金機構による情報漏えい事件、2014年のベネッセコーポレーションによる個人情報漏えい事件など、多くの情報漏えい事件はソフトウェアやOSの脆弱性を悪用して感染するウィルスや不正アクセスによって引き起こされるケースが多くなっています。

日本年金機構情報漏洩事件のすべて<彼らは本当に生まれ変わったのか>
2016.6.10
2018年3月に発生した漏洩事件についてはこちら 日本年金機構委託企業、年金情報
ベネッセ個人情報漏洩事件のすべて|企業は加害者?それとも被害者?
2016.5.10
2014年7月、ベネッセホールディングスの子会社ベネッセ・コーポレーション(以下ベネッセ)にて大量の個人情報が流出しました。東京オリンピック開催に向け「アノニマス」を始めとする日本企業を狙ったサイバー攻撃が増加している現在、もちろん外敵に対

企業の脆弱性への対応における最新事情

これまで脆弱性についての情報はソフトウェアベンダーやOSベンダー自体が自ら見つけ出すケースや、セキュリティ対策ベンダーが見つけ出すケース、CERTなどのセキュリティ機関が見つけ出すケースなど、様々なソースから提供されてきました。現状でソフトウェアベンダーやOSベンダーなどのサービス提供側にとっては、こういった脆弱性を自ら調査し、見つけ出し、対応を行っていくことは非常な労力を伴うこととなっています。

また、提供側にとっては自らの製品やサービスの脆弱性に起因する問題により訴訟、巨額の損害賠償と発展、信頼の失墜となる場合を想定すると、脆弱性を発見し、確実に対応を行うことは企業の存続にもかかわる重要な課題です。そういった中、最近では脆弱性情報について発見者に報奨金を支払う企業も出てきています。

企業にとってはお金を払わないといけないという責務はありますが、それにも増して第三者によって隠れた脆弱性を発見してもらい、適切な対応を行って、漏えい事件等の対応を行えるというメリットの方が大きいのです。

各企業にみる具体例

具体的に報奨金制度を持つベンダーとしては、ソフトウェアベンダーとしてはグループウェアで知られたサイボウズやAdobe、コミュニケーションツールのFacebookなど、OSベンダーではMicrosoftが知られています。
その他にもGoogle等も報奨金制度を持っています。

サイボウズの例

例えばサイボウズの報奨金制度では、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を評価の指標として用いています。CVSSは米国家インフラストラクチャ諮問委員会(NIAC)によって作成されたシステムの脆弱性についての包括的かつ汎用的な評価手法です。

サイボウズではこれに基づいて、危険性や影響度の高い脆弱性であればあるほど高い報奨金が支払われる制度となっています。具体的な金額は1件あたり1,000円から最大300,000円(1件の報告から複数の脆弱性が検出された場合の金額上限は1,000,000円)です。また、サイボウズでは発見者が安全に検証を行えるように脆弱性の検証環境を準備、提供しています。

その他の企業

他の企業では、例えばGoogleではアカウントページのクロスサイトスクリプティング(XSS)の脆弱性には7500ドル、Gmail等のサービスの脆弱性には5000ドル。また情報流出などに繋がる重大な脆弱性には7500ドルなど、サービスごとなどで報奨金を規定しています。

Microsoftの報奨金プログラム「Microsoft Bounty Program」では、不正な攻撃に対応するための新しい技術や手法を提案した研究者に最高で10万ドルを支払うことになっています。

Facebookでは、報告された脆弱性の深刻度や報告の独創性に基づいて報奨金の額が決められると定めています。報奨金の最低額は500ドルですが、上限については特に定めはありません。過去にはインフラに関する重大な脆弱性に対する報奨金として3万5千ドルが支払われたことがあります。

大手企業ほど高額の奨励金を支払う傾向あり

このように見ていくと、やはりMicrosoftやFacebookといった海外の大手ITベンダーは高額の報奨金を支払うケースがあるようです。Microsoftの場合Windows OSやMicrosoft Officeなど非常に多くの利用者に幅広く使われるソフトウェアを扱っており、脆弱性の問題が発生した場合に影響範囲が非常に大きくなります。

またFacebookにしても2015年9月現在で15億5千万人が利用するなど非常に利用者が多く、それゆえに一旦重大な脆弱性の問題が発生すると、影響範囲は非常に大きなものとなります。

それは当然Googleについても同様のことが言えます。したがって、このように高額な報奨金が設定されているベンダーは、特に利用者が多く、脆弱性に起因する問題が発生した場合に非常に影響範囲が広がることが想定される製品やサービスを提供しているケースが多くなっています。

おわりに

ITベンダー側にとってはもちろん脆弱性の存在しない製品を提供し、報奨金も支払うことなく、というのが最も良いのですが、もちろん現実には想定外の脆弱性は必ず存在します。

重要なことはその脆弱性をいかにいち早く見つけ、対処するか。これにより起きる可能性のある被害を未然に防ぐことが出来ます。報奨金制度を設けることによって、多くの脆弱性に関する情報を集め、ベンダーはいち早く問題発生前に対応することが可能となります。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。