バグを発見した人に、最高2万ドルの報酬金を出します―。
メッセンジャーアプリ開発のLINEは、2015年8月から9月にかけ、LINEアプリの脆弱性を報告したユーザーに報奨金を支払う「LINE Bug Bounty Program」を実施した。計200件の報告が集まり、LINEはこのうち7人が報告した14件の脆弱性を認定、1人については最高額の2万ドル(240万円)を支払った。
自社のソフトウエアやWebサービスの脆弱性を発見した外部の技術者(バグハンター)に報奨金を出すプログラムは、一般に「脆弱性発見報奨金制度(バグバウンティ)」と呼ばれる。
米国では、マイクロソフトやグーグルのようなIT企業に加え、ペイパルのようなITサービス企業、さらには航空会社の米ユナイテッド・エアラインズのような一般企業も導入している(関連記事:OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」)。
日本では、報奨金制度はまだ一般的とは言えない。その中で、2015年以降に報奨金プログラムを運営し、一定の成功を収めているのが、グループウエア開発のサイボウズと、メッセンジャーアプリ開発のLINEである。
サイボウズは2013年末に報奨金制度を始めて以来、制度を修正しながら毎年プログラムを実施。2016年は2月1日から12月26日までほぼ通年で脆弱性の報告を受け付けている。LINEは冒頭に紹介したように、1カ月という限定ながら報奨金プログラムを実施しており、今後も継続する考えだ。
脆弱性発見報奨金制度を運用するLINEとサイボウズの担当者に、報奨金制度を始めたきっかけや効果、運用ノウハウを対談形式で語ってもらった。
記者 まず、皆さんの自己紹介からお願いします。
サイボウズ佐藤氏 サイボウズ グローバル開発本部の副本部長として、開発組織全体のマネジメントを手掛けています。見つかった脆弱性の評価について技術的観点から相談を受けたり、脆弱性対策をソフトウエア製品の仕様に反映させたりしています。
サイボウズ伊藤氏 サイボウズのCSIRT(Computer Security Incident Response Team:セキュリティ案件対応の専門組織)である「Cy-SIRT」において、POC(point of contact:脆弱性や情報漏洩といったセキュリティ案件の通報受付窓口)の業務を担っています。
社内ではグローバル開発本部の品質保証部に所属し、製品のセキュリティ診断を担当しています。脆弱性報奨金制度では、脆弱性の報告受付やトリアージを担当しました。
LINE李氏 LINEでセキュリティ案件が発生したときのハンドリングを担当しています。
2015年にLINEが開催した脆弱性報奨金プログラムの企画と運営を担当しました。
LINE中村氏 LINEの脆弱性診断チームのリーダーで、「LINE-CSIRT」のコアメンバーでもあります。
報告を受けた脆弱性の再現手順の確認、報告内容が正しいか、などの調査を担当しています。
記者 伊藤さん、李さん、中村さんは、CISSP(Certified Information Systems Security Professional :情報セキュリティ専門家認定)の資格を持っているんですね。やはり実務では役立つのでしょうか。
伊藤氏 そうですね。セキュリティ担当者同士で共通言語を話せるという点で、大変役に立っています。
「なぜもう1件の脆弱性を公開しないのか」
記者 では最初に、報奨金制度を始めた経緯を教えて下さい。
伊藤氏 まず報奨金制度の前段階として、サイボウズが脆弱性の報告を受け付ける対外窓口を本格的に設けたのは2006年です。セキュリティ専門家の高木浩光先生からご指摘をいただいたことがきっかけです。その後に……
記者 あ、そこもうちょっと詳しく知りたいです。
伊藤氏 えーと、あまり当時の事を掘り下げると心の傷をえぐられるのですが(笑)。当時、セキュリティ案件のハンドリングとしてやっちゃいけないことをやってしまいました。ある製品の脆弱性情報を公開したのですが、3件あったうち2件を公開し、1件を非公開にしたのです。脆弱性3件の情報を知っていた高木先生から、「なぜもう1件の脆弱性を公開しないのか」とご指摘いただきました。
当時は脆弱性の専門窓口がなく、カスタマーサポートのメンバーが対応していました。メンバーが脆弱性という現象を理解をしていない状況で高木先生と話をしており、正しくない答えを返すこともありました。
