アプリケーションのエラー発見を目的とした「バグバウンティー(不具合報奨金)」制度は、組織のセキュリティー対策の一部としての重要性が増している。自組織のコンピューターシステムのトラブルシューティングに報奨金を支払うことは魔法の解決策にはなり得ないだろうが、有効性と評判の観点からは重要だ。
アップルは3年前にバグ報奨金プログラムを立ち上げたが、最近にはフェイスタイムの脆弱性を発見した少年が同社に適切に通報できず、修正が遅れてしまう問題が発生した。識者の多くはこの要因として、アップルの報酬金プログラム運営面での問題を指摘している。
バグバウンティープログラム立ち上げを検討する場合、他社の事例を参考にすることが大切だ。ハッカーワン(HackerOne)やバグクラウド(Bugcrowd)といった専門企業は、数年間にわたり同様のプログラムをコーディネートしてきた経験があり、投資を受けることにも成功している。適切なスキルを持ち合わせていない組織にとって、こうした企業は有益なパートナーとなり得る。
メディアでは、有名な企業や組織が問題を指摘したハッカーに大金を支払うバグバウンティープログラムについて取り上げられがちだが、現実にはひと握りのプロたちが賞金の大半を独占し、その他の大半は残り少ない賞金を分け合っている。これが、バグバウンティープログラムで生計を立てるハッカーたちの現実だ。大半の人はわずかな金額、それも非常に不定期な収入しか得られていない。
とはいえ、ハッカーコミュニティーに対して自組織のシステムやアプリケーションにあるさまざまな問題点を洗い出すよう公に呼び掛けるバグバウンティープログラムは、企業のセキュリティーを試す非常に効果的な方法だ。万人向けではないが、企業セキュリティーに対する経営陣の意識改革につながるのは間違いない。セキュリティー問題を発見・通報することは、犯罪でもなければ脅迫にもあたらない。そもそも、そのような行為はハッカー倫理に反するものだ。
あらゆる種類の組織が抱えるセキュリティー問題の多くは、ハッカーたちが発見した脆弱性を通報したり、通報に対する報酬を受けたりする手段がないことが原因となっている。企業側はこうした通報を無視したり、時には警察に通報したりさえする。バグ報酬金の予算を確保し、自社のウェブサイトで通知することは決して恥ずかしいことではない。これは自社のセキュリティー担当者を軽視するような行為ではなく、将来の深刻な問題の回避につながるものだ。
