今後は日本でも脆弱性報奨金制度が拡大する

LINE株式会社は、同社が運営するサービスのセキュリティに関する脆弱性の発見を全世界から公募し、報告者に報奨金を支払う「LINE Security Bug Bounty Program」において、認定対象を拡大すると発表しました。

 

LINE Security Bug Bounty Programとは

対象サービス(LINEアプリの最新版・各Webサイト)において、脆弱性の発見を公募し、LINE株式会社で確認・審査を行い、その内容が認められれば報告者名や脆弱性の概要を弊社公式サイト内の特設ページにて順次公表、その新規性・重要度に応じて報奨金を支払う制度。

 

LINEでは、セキュリティ専門組織によるセキュリティ検証の実施や、内外の専門家によるアプリケーションへの脆弱性対策として、LINEアプリにおける脆弱性の発見を公募し、報告者に報奨金を支払う「LINE Bug Bounty Program」を実施2015年8月に期間限定で行いました。その後、2016年6月1日より「LINE Security Bug Bounty Program」と改称して期限を設けず常時運営を行ってきたとのこと。

 

「LINE Security Bug Bounty Program」の認定対象を拡大

LINEは4月10日より、本プログラムの認定対象を以下の項目にまで拡大します。

 

・「LINE」のChrome版・Windows 10 Mobile版

・LINE STORE

・LINE NEWS

・LINE MUSIC

・LINE LIVE

 

実際に常時運営開始から2017年3月末までに133件の報告を受付、そのうち3名(5件)の報告をプログラムに規定された脆弱性と認定されたとのこと。

 

今後も引き続き、本プログラムの認定対象サービスの追加を検討していくといいます。

 

報奨金の最高額は1万ドル

気になるのは報奨金の金額ですよね。最高額にもなると、1万ドルの報奨金が支払われるようです。この額が高いのか安いのかは一概には判断できませんが、他者に目を向けてみましょう。

ちなみに、グループウェアの開発、販売、運用事業を行うサイボウズ株式会社もサイボウズ脆弱性報奨金制度を設けており、同制度の報奨金の上限は100万円でした。

 

海外に目を向けてみると、米Appleもバグ報奨金制度を設けており、こちらは最大で20万ドルを支払われるようで、桁が違いますね。

 

背景には「ビジネスのデジタル化」がある

今こうした脆弱性報奨金制度が拡大しているようです。以前まではこのような制度を設けていたのはIT企業がほとんどだったのですが、情報化社会の急速な進展により、近年は自動車メーカーや金融など、非IT企業も設置を始めています。

 

有名な企業では、テスラモーターズやスターバックスなどが脆弱性報奨金制度を設置しています。

 

MicrosoftやGoogleのような世界で最も多くのセキュリティ技術者を抱える企業であっても、自社だけで全てのバグを見つけ出すのは不可能であり、バグの発見に外部の力を借りるのは、IT業界では既に常識となっていました。

「ビジネスのデジタル化」が急速に進むに伴い、この制度が一般企業にも拡大しているのです。

 

日本ではこうした脆弱性報奨金性を設けている企業は、海外と比較すると現状では非常に少ないのですが、今後は拡大していくでしょう。

LINEで送る
Pocket

こんな記事も読まれています