「バグ報告に報奨金」で品質改善に効果あり、サイボウズが再び実施へ

海外ではGoogleなどが導入している脆弱性報告者の報奨金制度をサイボウズも実施した。製品やサービスの品質改善につながったとして、2015年も実施することになった。

[國谷武史，ITmedia]

　サイボウズは1月27日、2014年に実施した「脆弱性報奨金制度」の結果と2015年の再実施を発表した。製品やサービスの品質改善に効果があるとして、2015年は制度を一部拡充する。

　脆弱性報奨金制度は、同社の製品やサービスに存在するセキュリティ上の問題を発見し、報告した人物に対して、評価を基に報奨金を支払う。セキュリティ上の未知の問題を社内だけで探すには限界があり、外部の協力を得て品質改善につなげるのが狙いだ。海外ではGoogleやMicrosoftなどが既に導入している。

脆弱性報奨金制度の意義

　サイボウズでは2014年6月19日から12月25日まで実施し、241件の報告が寄せられた。このうち、脆弱性として認定された報告は158件あり、687万円の報奨金が支払われる。報告者の中には一度に複数の脆弱性を報告するケースもあり、1人が一度に獲得した最高額は51万円、年間の最高獲得額は220万円。報告者1人あたりの平均獲得額は4万2787円だった。

　なお、同社は2013年10月から12月に試験的に制度を実施し、この際には26件の脆弱性が報告された。実施期間などに違いがあるものの、2014年は「共通脆弱性評価システム」（CVSS）で深刻度の高いと分類される10件の脆弱性が報告されるなど、一定の効果が認められたという。同社は脆弱性を検証するための環境も提供しており、2014年9月に発覚したGNU bashの脆弱性（通称：Shellshock問題）では検証環境を利用して、4日ほどでセキュリティアップデートを適用することができた。

脆弱性以外にサービスの不備などの報告も寄せられたという

　脆弱性報告者の約7割が国内を占めるが、特に告知をしていないという海外から報告も3割ほどあった。報告者は個人のセキュリティ研究者などが多いものの、法人からの参加の相談も寄せられたという。

　2015年は制度を一部改定して、2月2日から12月25日まで実施する。報奨金算出の基本的な仕組みは2014年とほぼ同じで、一部の脆弱性はCVSSによる評価が実態に沿いにくいとして金額をアップする。具体的には、CVSSのバージョン2（v2）での評価の上限が「5.0」になるクロスサイトスクリプティングの脆弱性を「CVSS v2基本値×1万円」から「CVSS v2基本値×2万円」に変更する。SQLインジェクションの脆弱性は、攻撃を容易に実行できてしまうなどのケースに応じて金額をアップする。

2015年は脆弱性報告者の“やる気”に応える仕組みにしていく

　また報告者に報奨金を支払うタイミングも変更。2014年は「脆弱性を改修して情報公開した後」だった。2015年は、「サイボウズが脆弱性情報を公開した時」もしくは「サイボウズが脆弱性として認定してから6カ月後」という条件を満たした月の翌月最終営業日に支払う。従来は、報告から公開までに長い時間を要するケースがあり、報告者から同社の対応状況や評価結果などが分かりにくいといった意見があったためだという。

　制度の運営などを担当するグローバル開発本部品質保証部の伊藤彰嗣氏は、「実際に行ってみると様々なことが分かり、課題点を改善して2015年は参加しやすい運営を目指したい」と話す。