報奨金制度は予算オーバー!? 脆弱性報告は月間30件程度
6月から開始した脆弱性報奨金制度について、伊藤氏は「当初予想よりも早いペースで脆弱性情報が集まっている」と報告した。7月1日~11日までの脆弱性報告は15件で、今後は月間30件程度のペースになるものと見込んでいる。「報奨金制度は順調に成長してきていると感じる」(伊藤氏)。
報奨金制度を通じて報告される脆弱性の傾向として、社内検査や外部機関の監査では発見されにくい「なかなか思いつかないような使い方で生じる脆弱性」が多いと、山本氏は説明する。
ちなみに、サイボウズでは報奨金の予算として「(今年度)500万円強」を確保していたが、ふたを開けてみればそれを上回るペースになりそうだ。山本氏は「もちろん『予算オーバーだから報奨金を支払わない』なんてことはない」と笑いつつ、脆弱性対策のために専門スキルを持つエンジニアを雇用するよりも圧倒的に安いと、報奨金制度の費用対効果の高さを評価した。