「脆弱性情報に賞金を払う制度に効果あり」 米カリフォルニア大が研究報告

GoogleやMozillaが実施している報奨金制度は、「フルタイムのセキュリティ研究者を雇用するのに比べると経済効率が高い」という。

» 2013年07月12日 07時16分 公開
[鈴木聖子,ITmedia]

 米GoogleやMozillaが実施している脆弱性情報の提供者に賞金を払う制度はコスト効率が高く、未解決の脆弱性情報が出回るなどのリスク低減にも役立っているという検証結果が発表された。

 この調査はカリフォルニア大学バークリー校の研究チームが実施。Google ChromeとMozilla Firefoxの報奨金制度について、過去3年間の実績を調べた。

 それによると、Google Chromeの報奨金制度にかかったコストは過去3年で58万ドル。計501件の報奨金が支払われた。一方、Firefoxでは3年間で約57万ドルを費やし、190件の報奨金を支払ったという。

 同制度に基づいて報告された脆弱性は、Chromeでこの期間に修正された脆弱性の28%、Firefoxでは24%を占めていた。報告書では「両制度とも、フルタイムのセキュリティ研究者を雇用するのに比べると経済効率が高い」と指摘する。

 こうした制度はGoogleやFirefoxのほか、Microsoftも最近になって導入するなど、ソフトウェアメーカーの間で採用の動きが広がっている。

 報告書ではそのメリットとして、研究者にインセンティブを与えることで関心が高まって潜在的な脆弱性が見つかる可能性が高まると同時に、メーカーが研究者と協力することによって脆弱性情報を管理でき、予期しない形で情報が公開されたり、不正な組織の手に渡ったりするリスクを低減できることを挙げている。

 研究チームはこの結果に基づき、「報奨金制度は製品のセキュリティ強化とユーザーの保護強化のための魅力的なツールを提供している」と結論付けた。

関連キーワード

脆弱性 | Google | Microsoft | Firefox | Mozilla | セキュリティ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ