サイボウズは1月28日に、自社製品での「脆弱性報奨金制度」ついて説明会を開いた。
脆弱性報奨金制度、いわゆるバグバウンティプログラム(BBP)は一般ユーザー(バグハンター)からの脆弱性の報告に対して、一定の報奨金を出す制度のこと。英語圏ではGoogleやMicrosoft・Facebookなどが実施しているが、同社によると国内ではサイボウズのみが現在実施しているものだ。
サイボウズの報奨金制度を担当するCy-SIRTの伊藤彰嗣氏が、2014年の実績と2月2日からスタートしている2015年の制度変更について説明した。
○220万円を獲得したバグハンターも。総額で約700万円の報奨金が発生
サイボウズの脆弱性報奨金制度は、2013年の試行期間を経て、2014年6月から12月まで6ヶ月間行われた。サイボウズの各種クラウドサービス、各種製品を対象としたもので、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System:米国家インフラストラクチャ諮問委員会が制定したもの)によって深刻度をはかり、それを元に報奨金が支払われるしくみだ。
2014年の6月~12月にユーザーから報告された脆弱性は241件、認定したものは158件となっている。
