サイボウズ、自社サービスの脆弱性発見者に報奨金

クラウドベースのグループウェアや業務改善アプリなどを提供するサイボウズ株式会社は、同社のクラウドサービス「cybozu.com」上で稼働する各サービスや、指定の製品・ホームページなどにおける脆弱性の発見者に報奨金を支払う「脆弱性報奨金制度」を新設、6月19日より開始した。

自社製品およびサービスの信頼性向上施策の一環として行うもので、現時点での実施期間は、2014年12月25日までだが、制度の見直しを行いながら、継続することを予定しているという。

サイボウズでは、独自に開発したクラウド基盤「cybozu.com」において、今年の2月26日から、常設の「脆弱性検証環境提供プログラム」を開始。このプログラムを通じ、これまでに17人から37件の脆弱性報告を得たという。報告された脆弱性に関しては、サイボウズ株式会社CSIRT（Cy－SIRT）が脆弱性情報ハンドリングの枠組み内で管理、製品対応が終了したものについては、随時情報を開示し、謝辞の掲載を行っている。

こうした取り組みで、サービスの信頼性向上につながる多くの報告を得たことから、さらに施策として拡大、報奨金を支払う制度を設けることにしたという。この制度開始にあわせ、対象をパッケージ製品にまで拡張。cybozu.com上の稼働サービスだけでなく、指定のパッケージ製品およびAPI、指定ホームページも対象としている。

なお「脆弱性検証環境提供プログラム」開始以降、すでに報告された37件の脆弱性に対しても、さかのぼって報奨金の支払いを行うそうだ。報奨金の金額は「共通脆弱性評価システムCVSS v2」の評価結果をもとに決定、1件あたり10,000円から最大1,000,000円（1件の報告で複数の脆弱性が検出された場合の金額上限）とする。

サイボウズでは、このような継続的取り組みにより、ゼロデイ攻撃の可能性を未然に防ぎ、同社製品をより安心・安全に利用できる体制を整え、製品サービス開発の品質向上を目指していきたいとしている。




サイボウズ株式会社　ニュースリリース
http://group.cybozu.jp/news/14061901.html

サイボウズ脆弱性報奨金制度
http://cybozu.co.jp/company/security/bug-bounty