はじめに
海外では脆弱性報奨金制度を設けているIT系企業はよくみかけるのですが、日本では脆弱性報奨金制度を設けているIT系企業はほとんど見かけません。
恐らく現在日本のIT系企業で脆弱性報奨金制度を設けているのはサイボウズさんだけではないでしょうか。
サイボウズさんでは、以下のような脆弱性報奨金制度の取り組みをしています。
サイボウズ脆弱性報奨金制度|サイボウズ株式会社
以前まではmixiさんなどが同じような制度を設けていたようですが、今は廃止しているようです。
思ったこと
これまでのことで僕が思ったことは、「続かないなら無理に脆弱性報奨金制度を始めようとしない」とういことです。
正直脆弱性を見つける側としては、お金だけではなくその企業のステッカーやTシャツなどをいただけるだけで満足です。
なので、予算がないならお金ではなく安価な自社のステッカーやTシャツなどを脆弱性の発見者に送る、というだけで十分だと僕は感じます。
サイボウズさんの脆弱性報奨金制度の1件の脆弱性の報奨金を見る限り、1件の脆弱性につき最低1万円はします。
セキュリティ専門の企業に調査を依頼すると、1件1万円では絶対に済みませんよね。
ところで自社のWebサービスに脆弱性があったとしてそれが悪用されたとき、どんなリスクが生じるのかは考えたことがありますか?
個人情報流出、それに伴う賠償金など、考えるだけでも恐ろしいですよね。
そのようなリスクの可能性を、脆弱性の発見者に自社のステッカーやTシャツを送る制度を設けるだけで潰せていけるのです。
とてもローコストでハイリターンな案だと個人的には思います。
最後に
色々と難しいことを書きましたが、要は
「脆弱性報奨金制度とまでは行かなくていいので、脆弱性の発見者に自社のステッカーやTシャツを送る制度を設けよう!!そして探しに行くので僕に教えてください!!」
ということが言いたいです!
ちなみに同じことを僕のブログでも公開しています。
日本のIT系企業にして欲しいローコストでハイリターンな脆弱性報奨金制度の案 | ujigami.net