• ビジネス
  • xTECH
  • クロストレンド
  • 医療
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP

メーカーや金融に広がる「バグ報奨金制度」

社外の力でセキュリティ強化

2016年11月30日(水)

  • TalknoteTalknote
  • チャットワークチャットワーク
  • Facebook messengerFacebook messenger
  • PocketPocket
  • YammerYammer

※ 灰色文字になっているものは会員限定機能となります

無料会員登録

close

 「御社のシステムにセキュリティ脆弱性を見つけました。詳細を教えますので、報酬を支払っていただきたい」――。見知らぬ人から英語でこんなメールを受け取ったら、あなたの会社はどう対応するだろうか。「気味が悪いから無視したよ」。日本のある大手企業のCIO(最高情報責任者)はそう打ち明ける。

 しかしこうした対応は間違いだ。この企業は自社のセキュリティを高める機会をむざむざ失ったことになるからだ。米国など海外には、企業のシステムのバグを見つけては「報奨金」を稼ぐことを生業にする「在野のセキュリティ技術者・研究者(ホワイトハッカー)」が実在する。そして米国の大手自動車メーカーや金融機関、さらには政府機関が、そうしたホワイトハッカーを積極的に活用し始めている()。

表●ITベンダー以外で「バグ報奨金制度」を導入している例

 バグを見つけてくれた外部の技術者に報奨金を支払う「バグ報奨金制度」は、もともとは2000年ごろにWebブラウザーやOSを開発するITベンダーが開始した。実際、米Microsoftや米Googleが発表するOSの「バグレポート」を見てみると、そのバグを発見した外部の技術者への謝辞が記載されているケースがほとんどであることが分かる。

 MicrosoftやGoogleのような世界で最も多くのセキュリティ技術者を抱える企業であっても、自社だけで全てのバグを見つけ出すのは不可能。バグの発見に外部の力を借りるのは、IT業界では既に常識となっていた。その常識が「ビジネスのデジタル化」に伴い、一般企業にも広がっているわけだ。

バグ報奨金制度を支えるスタートアップが存在

 海外送金やクレジットカード発行を手がける米国の金融機関、Western Unionも2015年にバグ報奨金制度を開始した。「外部からバグ報告を受けることが何度か続き、本格的に対応する必要があると判断した」。同社のDavid Levin情報セキュリティ担当ディレクターはそう語る(写真1)。

写真1●米Western UnionのDavid Levin情報セキュリティ担当ディレクター

 バグ報奨金制度を始めるに当たって同社は、米サンフランシスコに拠点を置くスタートアップ、Bugcrowdの協力を仰いだ。Bugcrowdは2012年に営業を開始した「バグ報奨金制度の代行事業者」だ。セキュリティ技術者がWestern Unionに報告してきたバグは、まずBugcrowdがその「深刻度」を検証。報奨金は深刻度に応じて支払われる。

 Western UnionのLevin氏は「当社のような一般企業では、報告されたバグが本物かどうか検証できない。そのために専門事業者に依頼した」と語る。ITが本業ではない一般企業がバグ報奨金制度を始められるようになった背景には、Bugcrowdのようなスタートアップの存在があった。

 「Bugcrowdの強みは、4万人のセキュリティ技術者が参加するコミュニティーを作っていること」。Bugcrowdマーケティング担当シニア・バイス・プレジデントのPaul Ross氏はそう説明する(写真2)。「DEF CON」や「Black Hat」、「AppSec」といったセキュリティカンファレンスでバグ報奨金制度に興味を持ちそうなセキュリティ技術者をリクルート。顧客企業が新しいシステムの稼働を開始する際には4万人のセキュリティ技術者に「バグ探索」を呼びかけ、成果報酬方式で報奨金を支払う。

写真2●Bugcrowdマーケティング担当シニア・バイス・プレジデントのPaul Ross氏

 Bugcrowdの顧客企業は公開・非公開を含めて286社で、2016年8月までに同社を通じて5万3113件のバグが見つかり、セキュリティ技術者に205万4721ドル(約2億円)の報奨金を支払った。見つかったバグ1件につき、40ドルほどを支払っている計算だ。

オススメ情報

「シリコンバレーNext」のバックナンバー

一覧

「メーカーや金融に広がる「バグ報奨金制度」」の著者

中田 敦

中田 敦(なかだ・あつし)

シリコンバレー支局

1998年慶應義塾大学商学部卒業、同年日経BP社に入社。ITproや日経コンピュータを経て、2015年5月からパロアルトに開設したシリコンバレー支局を拠点に、シリコンバレーの最新事情を取材中。

※このプロフィールは、著者が日経ビジネスオンラインに記事を最後に執筆した時点のものです。

日経ビジネスオンラインのトップページへ

記事のレビュー・コメント

いただいたコメント

ビジネストレンド

ビジネストレンド一覧

閉じる

いいねして最新記事をチェック

日経ビジネスオンライン

広告をスキップ

名言~日経ビジネス語録

会社全体を見ているのが、 私しかいない。

樫尾 和宏 カシオ計算機社長