HOME > U+(ユープラス) > 奇論・暴論 > 第399回 セキュリティー技術者育つか、「バグ報奨金制度」

U+(ユープラス)

U+のTOPへ

寄論・暴論

コラムニストの一覧に戻る

第399回 セキュリティー技術者育つか、「バグ報奨金制度」

2017/03/27

筆者がSFC(慶應大学湘南藤沢キャンパス)教授時代にゼミで始めた「SFCクリップ」というキャンパスマガジンは、筆者退職後も、現在はサークルとして継続している。そのサークル卒業生はITの先端を行く高度の技術を獲得した若者が多く、その一部の教え子の学生時代は興味本位の「ハッキング」をしていて、ある日、そのことを知らされて驚愕したのを覚えている。

不正アクセス禁止法ができる以前のことで、システムの妨害やデータの改ざんなどを行わず、「のぞき見」だけなら取り締まる有効な法律がなかった。しかし適法かといえば、肯定できず、解釈次第で違法になりかねない、と厳重注意をしておいた。違法と判断されれば、監督者の監督不行き届きとして筆者も批判の矢に曝されていたかもしれない。ただ、現在、その卒業生のほとんどがIT関連企業に勤務している。面白半分にしていた「危険な遊び」が彼らの能力を高度に磨いたのではないかと思っている。

筆者がキャンパスを去った後、「キャンパスマガジン」を引き継いだ学生の中に、その能力を社会に貢献する有益な使い道を試みる者もいた。パソコン用のOSやアプリケーションソフトを点検しながら不正アクセスに利用されそうな「脆弱性」を発見して、IPA(情報処理推進機構)にせっせと報告している学生である。数十件も報告する月もあるそうで、その学生から見れば、多くのソフトウェアは攻撃者に対して防御が不十分、「隙だらけ」だそうである。彼はサイバーセキュリティーに関する大きなシンポジウムではSFCを代表する学生のポジションで研究成果を報告していた。同様の学生が3、4人いた。いずれも道を誤ることなく、みな、有力IT企業の優秀な技術者になっている。

さて、日経電子版で、こんな記事を読んだ。

「バグ報奨金制度」を始めるIT企業が増えている、というのである。SNSサービスやクラウドサービスを提供する企業が「当社のサービスが抱えるバグを報告すれば報奨金を差し上げる」というのが報奨制度の中身だ。LINEやサイボウズなどが世界中の「バグハンター」から集まる報告を基にプログラムの修整を行っているのだそうだ。この記事によると、報奨金は「500ドルから1万ドルが基本」というから、「ちょっとした小遣い」というレベルではない。上記の学生なら、1件で5万円から100万円の報奨金が得られて、サラリーマンになるより高い収入が見込めたかもしれない。

多少、気がかりなところがある。脆弱性を発見するまでのプロセスを筆者は知らないが、もし、いろいろな攻撃を仕掛けて発見するのだとしたら、不正アクセス禁止法との関係はどうなるのだろうか。もちろん、攻撃を受ける側が了解づくでの「脆弱性診断の一環」だということなら、適法である。脆弱性診断を専門にするセキュリティー会社もあるが、技術力のある一般人の力を借りる、というところが、インターネット時代である。これも多数の一般ユーザーの力を使う「クラウドワーク」の一種だろう。こうした仕組みによって「守る側」の力量を上げてゆくことも有効な技術向上策の一つかもしれない。

上記のコラム購読のご希望の方は、右記の登録ボタンよりお申込みください。

登録はこちらから