リリース済みアプリやサービスのセキュリティを高めるための一つの手法として、「脆弱性発見者に対する報奨金制度」というものがある。海外では定着しつつあり、報奨金を専門に狙う「プロのバグハンター」まで登場しているほどだ。最近では、その有効性を認めて米グーグルや米フェイスブック、米マイクロソフトなど世界的なIT企業も続々と同制度を採用し始めている(関連記事:Google、オープンソースソフトの脆弱性パッチに報奨金を支払うプログラム、FacebookとMicrosoft、脆弱性発見の報奨金プログラムを発足)。
一方、国内に目を向けると、報奨金制度を採用するベンダーはまだほとんどない。そんな状況の中、報奨金制度をはじめとする“外部の目や頭脳を借りる”形での脆弱性発見の取り組みを積極的に推進しているのがサイボウズだ。
2日間の合宿で集中的に脆弱性を洗い出す
同社はこれまでも外部の解析者に検証環境を無償で貸し出すなどの施策を実施してきた。2014年6月に「脆弱性を見つけたら最大100万円」をうたった報奨金制度を始めたところ(関連記事:脆弱性を見つけたら最大100万円謝礼、サイボウズが報奨金制度を開始)、脆弱性の発見件数が一気に約3倍に増えたという(図1)。
そのサイボウズが、さらなる脆弱性発見効率の向上などを狙った「次の一手」として2014年8月上旬、「cybozu.comバグハンター合宿」(以下、バグハンター合宿)というイベントを開催した。社外からセキュリティ技術者や研究者を集めて2日間の合宿を行い、脆弱性を集中的に見つけてもらおうというイベントだ。もちろん、見つかった脆弱性に対しては個別に報奨金が支払われる。
サイボウズの伊藤彰嗣氏(グローバル開発本部 品質保証部 CSIRT、写真1)は「単一ベンダーが自社製品の脆弱性発見を目的として、こうした報奨金付きの合宿を開催するのは、少なくとも知る限りにおいて、海外を含めても類を見ない」と語る。