脆弱性報奨金の総額は600万円、サイボウズが2015年の振り返り

と指摘されることで「社内では脆弱性ではないと判断していたものを脅威として認識することがある」と同制度の意義を説明する。

2015年のルールではCVSS v2に基づき脆弱性を判断し、基本値が7.0以上の場合は数値×3万円、6.9以下の場合は数値×1万円。Webサイトの問題は一律1万円とし、特別ルールとしてCVSS v2基本値が5.0のXSS脆弱性は10万円、基本値が6.5を超えるSQLインジェクションは数値×3万円が支払われる。

昨年の結果との比較では、おおよそ同程度の脆弱性が発見(認定作業が完了していない)されたが、深刻度の高い脆弱性が1件と激減する一方で、外部通報の脆弱性のうち、改修完了案件がまだ45件と2014年の81件よりも少なくなってしまったため、これが「今後の課題」という認識を示している。

遅れの原因は、「XSSやSQLインジェクションなどのわかりやすい脆弱性が減った」ことだそうで、不適切な入力確認などの抽象度の高い報告が増えたという。そのため、報告者と連絡を繰り返さないと判断できないケースが増えたことを挙げていた。また、2016年ルールの説明も行われた。対象サービスに、モバイルサービス(サイボウズoffice新着通知/サイボウズLive Timeline)