サイボウズ、脆弱性報告への報奨金支払いを制度化：深刻度に応じて1件当たりCVSS v2スコア×1〜3万円

サイボウズは2014年6月19日、同社サービスの脆弱性の発見者に報奨金を支払う「脆弱性報奨金制度」を開始した。

[＠IT]

　サイボウズは2014年6月19日、同社クラウドサービス「cybozu.com」上で稼働しているサービスの脆弱性の発見者に報奨金を支払う「脆弱性報奨金制度」を開始した。脆弱性の深刻度に応じて、1件当たり最大CVSS v2のスコア×3万円の報奨金を支払う。

　サイボウズはこれまで、同社サービスの信頼性、品質向上を目的に、「外部の目」の協力を得て脆弱性を発見してもらう取り組みを進めてきた。2013年11月には脆弱性発見コンテストの「cybozu.com Security Challenge」を実施した他、2014年2月26日から、cybozu.comと同等の環境を無償で提供し、そこで稼働しているサービスの脆弱性を検証、発見してもらう「脆弱性検証環境提供プログラム」を開始。前者では20件、後者では37件の脆弱性が発見されている。

　脆弱性報奨金制度は、こうした取り組みを継続的に行うことで、ゼロデイ攻撃の可能性を未然に防ぎ、同社製品を安心、安全に利用できる体制を整えることを目的としたもの。クラウドサービス基盤であるcybozu.comで稼働する各サービスの他、同社が指定したパッケージ製品やAPI、Webページが対象となる。

　報告された脆弱性はサイボウズのCSIRT（Cy-SIRT）が脆弱性情報ハンドリングの枠組みの中で管理し、対応が完了したものから随時、謝辞と共に情報を開示する。合わせて、共通脆弱性評価システムCVSS v2の評価結果を基に、1件当たりCVSS v2の基本値×1〜3万円の報奨金を支払う。期間は当初2014年12月25日までの予定だが、制度を見直しながら継続していく方針だ。