サイボウズは2014年6月19日、自社製品やサービスのセキュリティ脆弱性を発見し、報告した人に対して最大100万円の謝礼を提供する報奨金制度「脆弱性報奨金制度」を新設したことを発表した。同社製品やサービスに存在するゼロデイ脆弱性を早期に発見し改修することが目的。受け付け期間は同日から12月25日まで。
同社は2014年2月から、外部のセキュリティ専門家の協力を得やすくする目的で、クラウドプラットフォーム「cybozu.com」上で提供する全サービスの検証環境を常設的に提供する「脆弱性検証環境提供プログラム」という取り組みを実施している。6月17日までに同プログラムを通じて37件の脆弱性報告があったといい、また、サービスの信頼性向上につながる報告を多数もらったことから、取り組みを拡大する目的で今回の報奨金制度の設立を決めたという。
参加条件については、秘密情報の取り扱いや免責事項などを記した同制度の規約に同意することに加えて、
・サイボウズおよび関連会社社員ではないこと
・日本語または英語でCy-SIRT(同社内セキュリティ専門チーム)とコミュニケーションできること
・検証環境にアクセスするための機材を用意できること
という条件を満たす必要がある。
参加者に対して、クラウドサービスについては本番環境と回線およびサーバーを物理的に分離した専用の検証環境を提供。パッケージ製品については、必要に応じて検証用のライセンスを提供するという。
報奨金の算定方法については、「共通脆弱性評価システムCVSS v2」の評価結果を基に設定するというユニークな方法を採用した。CVSS v2は、情報システムの脆弱性に関するオープンで汎用的な評価手法としてセキュリティ分野で広く使われている。
具体的には、「CVSS v2の基本値が7.0以上の場合、CVSS v2基本値×3万円」「同6.9以下の場合はCVSS v2基本値×1万円」「Webページに関する問題の場合、1件につき一律1万円」をそれぞれ支払う。1件の報告から複数の脆弱性が検出された場合の金額上限は100万円に設定。つまり、支払われる報奨金額は、1件当たり1万~100万円である。
