サイボウズは、クラウドサービスのcybozu.com上で動くサービスの脆弱性を発見し、報告した人に報奨金を支払う「脆弱性報奨金制度」を6月19日より新設した。
「脆弱性報奨金制度」の案内
サイボウズではクラウドサービスの信頼性向上施策として、2014年2月から脆弱性検証環境提供プログラムを常設。これまでに17名から、37件の脆弱性が報告されているという(6月17日現在)。これらの脆弱性は、サイボウズのCSIRT(Cy-SIRT)が脆弱性情報ハンドリングの枠組みで管理。製品での対応が終了したものについては、随時情報を開示し、謝辞を掲載しているという。
今回の脆弱性報奨金制度は、この取り組みを拡大するもの。cybozu.comで稼働する各サービスに加え、パッケージ製品やAPI、指定のサイボウズサイトなども対象になる。期間は2014年6月19日~2014年12月25日まで。報奨金は1件あたり1万円から最大100万円(1件の報告から複数の脆弱性が検出された場合の金額上限)になる。金額は共通脆弱性評価システム「CVSS v2」の評価結果を元に設定されるという。
なお、報奨金は脆弱性検証環境提供プログラムを開始した2014年2月以降、すでに報告されている37件の脆弱性に対しても支払われるという。
