「特技はバグ探し」で就活も期待？ 千葉大が国内大学初の脆弱性発見イベント（2/2 ページ）

[國谷武史，ITmedia]

　今回のような取り組みは「Bug Bounty Program」（脆弱性報奨金制度）とも呼ばれ、米国の大手IT企業を中心に広がる。国内ではサイボウズが初めて実施（現在は通年実施の制度）し、LINEや任天堂なども立ち上げた。

　企業などが実施する通常の脆弱性報奨金制度は、自社のシステムやソフトウェア製品、サービスなどのセキュリティ品質の向上が目的だ。外部のセキュリティ研究者らに脆弱性を探索して報告してもらうことで、修正や改善などを図る。報告者には内容に応じた額の報奨金を支払い、謝辞を公表している企業も多い。自社以外にも影響が及ぶ可能性のある脆弱性の情報は、調整機関を通じて一般に公表される場合もある。

千葉大学の石井徹哉副学長

　今回の試みについて千葉大の石井副学長は、「セキュリティ人材になり得る学生の教育を目標としていることから、成績優秀者を表彰する形にした」と話す。報奨金や受講に伴う単位認定といったインセンティブは設けず、成績優秀者には副賞としてその功績を評価する予定だ。

　また、学生に付与する「ハンターライセンス」は1年間の有効期限を定め、毎年の講習を受講して発行を受ける必要があるという。ライセンスはシンプルなデザインで、表面には英語による認定のメッセージ、裏面には正しい目的で脆弱性探索を行うための誓約メッセージを記載。運転免許証サイズのカードタイプも発行し、千葉大学では「例えば、就職活動の際に学生が企業に評価される証明書のようなものにしたい」（学術国際部情報企画課長の西城泰裕氏）という。

セキュアスカイ・テクノロジーの長谷川陽介常勤技術顧問

　セキュアスカイ・テクノロジーの長谷川氏は、学生が提出するレポートについて「システムの仕様というケースもあり、脆弱性の有無に関わらず、学生が対象システムをどのように探索したのかや、学生が脆弱性の可能性を判断した理由といったプロセス全体を審査していきたい」と話す。仮に学生が脆弱性を発見できなかった場合でも、「システムの安全性を証明したという点を評価する」（西城氏）とのことだ。

　15日の開催式でセキュアスカイ・テクノロジーの乗口雅充社長は、「IT業界全体しても人材不足が叫ばれているが、セキュリティ分野は非常に期待されている分野。セキュリティ人材としての活躍の場はとても幅広く、ぜひ将来のキャリアの1つとして目指してほしい」と学生に呼び掛けた。

「ハンターライセンス」の表面（右）と裏面。当初は学生が親しみやすいデザインを検討したが、企業に証明できるようなシンプルなデザインにしたという

　今回のコンテンストは期間限定だが、千葉大学では「ハンターライセンス」を持つ学生が有効期限の間に対象システムを随時調査できる制度を検討しているといい、対象システムも拡大させていくとしている。