このうち最も深刻度の高い「深刻度III」が10件あった。
報奨金の総額は700万円となっている(このうち400万円は公開待ちなどの理由で保留)。1件あたりの報奨金最高額は51万円、報奨金平均額は4万2787円だった。もっとも報奨金を多く獲得したバグハンターは、6ヶ月間で220万円もの報奨金を得たとのことだ。
このしくみによって、2013年と比べるとサイボウズの脆弱性認定件数は大幅に増えている。認定件数で7倍、外部からの通報は約4倍に増えており、報奨金制度が大きな効果を出していることがわかる。
伊藤彰嗣氏は「脆弱性発見の手段として報奨金制度は大きな効果があると実証できた。社内での脆弱性発見と、報奨金による発見が相互補完することで、サイボウズ製品のセキュリテイが向上している」と述べている。
サイボウズ社内では製品全体の安全性を網羅的に見る必要があるが、報奨金制度ではバグハンターが一点突破で脆弱性を発見しようとする。そのため単純な作業量で比較すると、報奨金制度のほうが圧倒的に多くの脆弱性を発見できる。
また報奨金制度によって、サイボウズ社内での意識が高まる効果もあるとのこと。伊藤彰嗣氏は「報告された脆弱性が、社内で他の脆弱性を発見するきっかけにもなっている。
