千葉大学は2016年11月24日、学内の情報システムとWebサイトを対象とした同大学生によるバグ報告奨励制度を開始すると発表した。大学では国内初の取り組みという。
「セキュリティバグハンティングコンテスト」を開催する。千葉大は2016年12月15日にセキュリティに関する法律や倫理、技術といった講習を実施。先立って12月7日には初心者向けの事前講習会を開く。12月15日の講習を全て受講して「ハンターライセンス」を付与された学生は、同日から1カ月間、情報システムやWebサイトのセキュリティ上のバグや脆弱性を探して、報告書にまとめる。
大学はセキュアスカイ・テクノロジーの長谷川陽介氏らと協力して2017年1月末までに報告書を審査、2月上旬に成績優秀者を表彰する。副学長が表彰状を授与し、副賞として商品券も用意するとした。
千葉大が同コンテストを実施する目的は、学生のセキュリティに対する興味と意識の向上、ならびにセキュリティ人材の輩出。サイバーセキュリティ基本法で掲げられた、大学におけるセキュリティ人材の育成という方針に沿ったものという。
厚みを増す大学でのセキュリティ教育
自社のソフトウエアやWebサービスの脆弱性を発見した外部の技術者(バグハンター)に報奨金を出すプログラムは、一般に「脆弱性発見報奨金制度(バグバウンティ)」と呼ばれる。米国ではIT企業やITサービス企業、航空会社や自動車会社などで広がり、日本ではサイボウズやLINEなどが採用している(関連記事:OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」、LINE×サイボウズのバグバウンティ対談)。
大学でのセキュリティ教育では、攻撃チームと防御チームに分かれてサイバー攻防を疑似体験できる装置「サイバーレンジ」を使った教育手法が登場している(関連記事:攻撃者目線を防御に生かす、「サイバーレンジ」での実践型育成広がる)。今回、千葉大のバグ報告奨励制度が加わり、育成方法は厚みを増している。
記事公開当初、「バグ報奨金制度」としていましたが、正しくは「バグ報告奨励制度」です。お詫びして訂正します。本文は修正済みです。 [2016/11/28 18:30]
