Googleの賞金付き脆弱性報告制度は「大成功」、Chromium OSにも対象拡大

「賞金制度によって脆弱性研究への参加が広がり、それだけ多くの脆弱性が修正されてユーザーにとっての安全性が高まった」とGoogle。

[鈴木聖子，ITmedia]

　米Googleは、Webブラウザ「Chrome」などの脆弱性情報に賞金を支払う制度について、導入から2年を経て「あらゆる点で大きな成功を収めた」と振り返るとともに、今後はChromium OSも同制度の対象にすると発表した。

　Googleは2010年1月からChromeの脆弱性を発見・報告した研究者などに賞金を進呈する制度を開始し、これまでに支払った賞金の総額は30万ドルを超えた。

　同年11月には「google.com」や「youtube.com」などのWebアプリケーションに対象を拡大し、これまでに200人以上が1100件を超す問題を報告。うち730件について総額41万ドル以上の賞金を進呈し、報告者の厚意によって1万9000ドルは慈善事業に寄付したという。

　新たにChromium OSを対象とする制度では、例えば同OSのベースとなっているLinuxカーネルの脆弱性を突いたセキュリティ問題などにも賞金を支払う。賞金の額は、重要度の高さや情報提供者の貢献度などに応じて500〜3133.70ドルとする。

　Googleによれば、これまでに賞金を受け取ったのは、制度開始以前では情報を寄せたことのなかった人が大半を占めるといい、「賞金制度によって脆弱性研究への参加が広がった」と評価する。さらに、「脆弱性報告が増えるということは、それだけ多くの脆弱性が修正され、ユーザーにとっての安全性が高まることを意味する」とも指摘。Googleに続いて賞金制度を導入する企業も増えており、こうした企業とセキュリティ研究者との関係が深まれば、Web全体のセキュリティが強化されるチャンスも広がると期待を寄せている。