脆弱性発見者に報奨金、サイボウズが新制度スタート

海外ではおなじみになりつつある脆弱性発見者への報奨金制度をサイボウズが導入した。特に危険度の高い脆弱性報告については30万円を上限に報奨金が支払われる。

[ITmedia]

　サイボウズは6月19日、同社製品に関する脆弱性発見者に報奨金を支払う「脆弱性報奨金制度」を開始した。2014年2月以降に報告された37件の脆弱性に対しても、遡って発見者に報奨金を支払うという。

　制度の対象となるのは、同社のクラウドサービス基盤「cybozu.com」で稼働するサービスや同社指定のパッケージ製品およびAPI、Webサイト。期間は12月25日までで、それ以降も制度の見直しを行いながら継続する予定。

　報奨額は、共通脆弱性評価システム「CVSS v2」の評価スコア（最大値は10.0）に基づき、スコアが「7.0」以上のものに対してはスコア値に3万円をかけ合わせた金額（上限30万円）「6.9」以下ではスコア値に1万円をかけ合わせた金額（同6万9000円）、Webサイトは1件につき一律1万円。1回の報告における脆弱性が複数の場合は100万円を上限としている。

　同社は2013年11月に脆弱性発見コンテストの「cybozu.com Security Challenge」を実施し、2月26日からは「脆弱性検証環境提供プログラム」も導入。コンテストでは20件の脆弱性が報告され、プログラムでは6月17日までに37件の報告が寄せられている。

　脆弱性報告に対する報酬制度は、海外では2010年頃からGoogleやMozillaなどが導入しており、日本円で数十万円の報酬が支払われることが珍しくない。ただ、近年は報告件数が減少傾向にあり、報酬金額を増やす企業もある。

変更履歴……初出時に報奨額の表記の誤りがありました。お詫びして訂正いたします。