- 2014年12月22日
- セキュリティについて
海外にはソフトウェアの脆弱性発見だけで生活している「プロ」がいる一方で、日本企業は脆弱性を「無視」し続ける。
GoogleやMicrosoft社は、ソフトウェアの脆弱性を発見した方に報奨金を支払っているという。
そしてなんとその報奨金だけで生活している人が存在するとのこと。
ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。
GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。
年収は8進数で27135346円とのこと。10進数にすると年間600万円超、これだけで「事業」とするのは少し難しいが、一人が食べていくには十分な金額だ。
さて、こういった「バグ報告」に関して、国内企業はどう見ているのだろうか。先日の新聞に関連する記事がありました。
それはIPAの谷口氏へのインタビュー記事なのだが、ソフトウェア開発者へ脆弱性を発見した報告を行っても、そもそも「問題となっていないので対策は不要」などの回答が返ってくるとのこと。
海外においては、「脆弱性隠し」は糾弾され、WordPressの先日の記事では開発者達が意図的に脆弱性情報を隠蔽したのではないかということが問題となっている。
脆弱性公表をきちんと行う企業と、行わない企業、どちらの製品を使おうと思うか、ユーザーに聞いてみてほしいものである。