サイボウズは2014年7月11日、セキュリティ対策に関する取り組みの説明会を開催した。その席上、目玉として始めた「脆弱性報奨金制度」(関連記事:脆弱性を見つけたら最大100万円謝礼、サイボウズが報奨金制度を開始)の現況について説明した。
報奨金制度の運用を事実上始めた2014年2月下旬から6月末までの約4カ月間で、サイボウズの製品・クラウドサービスにおいて発見されたセキュリティ脆弱性件数は43件、報奨金支払い予定金額は279万8000円になった。7月に入ってからさらに15件以上の脆弱性が発見されており、ペースが上がっているという。
これまでの報奨金の最大金額は1件当たり51万円。深刻度が高い脆弱性が二つの製品で同時に発見されたため、支払い額が大きくなったという。一人当たりの最大獲得額は220万円強。ある熱心なセキュリティ専門家が繰り返し脆弱性を報告しており、報奨金支払いが集中しているという。
報奨金制度の運用を担当するサイボウズ株式会社CSIRT(Cy-SIRT=サイサート)の伊藤彰嗣氏(写真1左)は「予算は年間500万円強を見込んでいたが、それを上回るペースで脆弱性が報告されている」と説明する。予算を上回っても報奨金支払いを続ける予定だ。サイボウズは、負担額が予算を上回ったとしても、セキュリティ専門家を雇用・委託するのに比べて費用対効果は高いと見ている。
写真1●サイボウズでセキュリティ管理を担当する伊藤彰嗣氏(左)と山本泰宇執行役員
[画像のクリックで拡大表示]
