Bug Bounty Programとは、脆弱性を報告してもらうことで報奨金を払う制度のことです。
企業自身が行っていたりするものや、専門で脆弱性報告受付と報奨金の支払いを行う代行サービスがあったりします。
企業自身
Bug Bounty サービス
海外の大きな会社やサービスでは普通になってきているようですが、日本では企業側での認知度が低いのと同時に、脆弱性を報告されることに対する嫌悪感的な部分もあるのかなと思ってしまいます。
報奨制度までいかずとも脆弱性受付窓口がある企業もまだまだ少なく、窓口がない企業に脆弱性の報告を行うと、日本の場合「不正アクセス禁止法」を根拠に逆に罪に問われる可能性もある、、なんて話も聞きます。
その意味では、もっともっと日本でもBug Bounty Programが普及すると、企業側も報告者側もハッピーになれるのではないですかね。
最近、日本でも初のBug Bountyサービスがはじまったようです。
まだまだ始まったばかりのようですが、間違いや、おかしなところを指摘された時に、気持ち良く「ありがとう」と言える文化が広まるといいですね。