バグ報奨金プログラム（Bug Bounty Program）を知ってますか？

企業のウェブサービスやアプリケーションなどに「システム上の脆弱性※」の調査を、外部のハッカーたちに依頼し、もし問題が見つかった場合は報告を受け、その対価として報奨金を支払う取り組みのことです。

報奨金額は、予め企業側で脆弱性レベルに応じて決めておき、 報奨金の対象となるのは技術的な裏付けがある報告だけなので、企業にとっては少ないコストでセキュリティ向上を図れる優れた仕組みです。

以前LINEが実施したことで話題になり知っている人も多いのではないでしょうか。→LINE Bug Bounty Program

そのBug Bounty Programを企業が個別にやるのではなく、世界のホワイトハッカー（善意のハッカー）をネットワーク化し、クライアント企業のバグや脆弱性を発見することで報奨金を付与するという、いわばホワイトハッカーと企業ののマッチングを行うサービスを展開する企業が現れました。

TechCrunch（ホワイトハッカーが脆弱性を検証する「Bug Bounty」が正式サービス開始、バイドゥなどが導入）が伝えたところによると、

「THE ZERO/ONE – Bug Bounty」を展開するセキュリティ会社・スプラウトです。2015年11月から試験的に提供しており、すでにこれまで計26件の報告があり、すでに約20万円の報奨金をハッカーに支払った実績があります。

その実績を受けBug Bountyというサービスを3月2日より正式に開始しました。

すでに百度（バイドゥ）のほか、上場企業を含む計4社の導入が決まっているとのことです。