• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

一般企業や政府も始めた「バグ発見報奨金制度」

2016年4月11日(月)

  • TalknoteTalknote
  • チャットワークチャットワーク
  • Facebook messengerFacebook messenger
  • PocketPocket
  • YammerYammer

※ 灰色文字になっているものは会員限定機能となります

無料会員登録

close

 2016年2月から3月にかけて話題になった「iPhone」のアンロックを巡るFBIと米Appleの対立の中で、脆弱性発見者へ報奨金を支払う「Bug Bounty Program(バグ発見報奨金制度)」が改めて注目を集めた。

 これは、自社のソフトウエアに存在するセキュリティ脆弱性の発見をハッカーに呼びかけるプログラムで、脆弱性を報告してくれたハッカーに報奨金を支払うというもの。「Bounty(報奨金)」は西部劇でよく出てくる言葉で、ならず者を捕まえたカウボーイが褒美の金をガッポリもらうといったイメージがある。西部劇の時代と同じように、ハッカーの世界でも賞金稼ぎができるというわけだ。日本語では、「バグ発見報奨金制度」とか「脆弱性発見報奨金制度」などと呼ばれている。

 FBI対Appleの問題でバグ発見報奨金制度が話題になったのはなぜか。FBIは死亡した銃乱射事件の容疑者が持っていたiPhoneに当初アクセスできず、またAppleの協力も得られなかった。そこでFBIはバグ発見報奨金制度の「コーディネーター」に依頼して、iPhoneをアンロックしてもらうのではないかと噂されたのである。

 バグ発見報奨金制度のコーディネーターとは、企業から同制度の構築を請け負い、ハッカーたちに参加を呼びかけ、賞金を渡すといった事業を営んでいる専門の会社のこと。こういった会社は何社かあり、すでに一つの産業になっているようだ。結局は、FBIはバグ発見報奨金制度を利用するのではなく、イスラエル企業が提供するソフトウエアを使って、iPhoneをアンロックした模様だ。

航空会社の米United Airlinesも導入

 バグ発見報奨金制度は現在、数多くの企業が導入している。米Microsoftや米GoogleのようなOSを提供するベンダーだけではない。米Facebookや米GitHub、米PayPalなどのネット企業はもちろんのこと、航空会社の米United Airlinesなども同制度を提供している。

 2016年3月には、脆弱性が指摘されながらもなかなか認めなかった米Uber technologiesが、独自のバグ発見報奨金制度をスタートさせた。また、なんと米国の国防総省もこの3月に、同制度を始めると発表したばかりだ。

 もしかしたら、公にバグ発見報奨金制度を実施するのは「恥ずかしいこと」と感じる人もいるかもしれない。自社のシステムやソフトウエアに脆弱性があると認めているようなものだからだ。自分たちで作ったシステムに穴があるかもしれなくて、しかもそれを自分たちでは見つけられないので、得体の知れない外部の人々に「見つけてください」と頼むことは、従来の考え方ではあり得ないことだろう。

コメント1

「シリコンバレーNext」のバックナンバー

一覧

「一般企業や政府も始めた「バグ発見報奨金制度」」の著者

瀧口 範子

瀧口 範子(たきぐち・のりこ)

ジャーナリスト

シリコンバレー在住。テクノロジー、ビジネス、社会、文化、時事問題、建築、デザインなどを幅広く日本のメディアに寄稿。

※このプロフィールは、著者が日経ビジネスオンラインに記事を最後に執筆した時点のものです。

日経ビジネスオンラインのトップページへ

記事のレビュー・コメント投稿機能は会員の方のみご利用いただけます

レビューを投稿する

この記事は参考になりましたか?
この記事をお薦めしますか?
読者レビューを見る

コメントを書く

ビジネストレンド

ビジネストレンド一覧

閉じる

いいねして最新記事をチェック