「御社のシステムにセキュリティ脆弱性を見つけました。詳細を教えますので、報酬を支払っていただきたい」――。見知らぬ人から英語でこんなメールを受け取ったら、あなたの会社はどう対応するだろうか。「気味が悪いから無視したよ」。日本のある大手企業のCIO(最高情報責任者)はそう打ち明ける。

 しかしこうした対応は間違いだ。この企業は自社のセキュリティを高める機会をむざむざ失ったことになるからだ。米国など海外には、企業のシステムのバグを見つけては「報奨金」を稼ぐことを生業にする「在野のセキュリティ技術者・研究者(ホワイトハッカー)」が実在する。そして米国の大手自動車メーカーや金融機関、さらには政府機関が、そうしたホワイトハッカーを積極的に活用し始めている()。

表●ITベンダー以外で「バグ報奨金制度」を導入している例
業種企業名
金融米Master Card、米Western Union
製造業米Tesla Motors、欧米Fiat Chrysler Automobiles
交通など米AT&T、米Airbnb、米Starbucks、独Deutsche Telekom、米Massachusetts Institute of Technology(MIT)、米United Airlines、米Uber Technologies、米国防総省

 バグを見つけてくれた外部の技術者に報奨金を支払う「バグ報奨金制度」は、もともとは2000年ごろにWebブラウザーやOSを開発するITベンダーが開始した。実際、米Microsoftや米Googleが発表するOSの「バグレポート」を見てみると、そのバグを発見した外部の技術者への謝辞が記載されているケースがほとんどであることが分かる。

 MicrosoftやGoogleのような世界で最も多くのセキュリティ技術者を抱える企業であっても、自社だけで全てのバグを見つけ出すのは不可能。バグの発見に外部の力を借りるのは、IT業界では既に常識となっていた。その常識が「ビジネスのデジタル化」に伴い、一般企業にも広がっているわけだ。

バグ報奨金制度を支えるスタートアップが存在

 海外送金やクレジットカード発行を手がける米国の金融機関、Western Unionも2015年にバグ報奨金制度を開始した。「外部からバグ報告を受けることが何度か続き、本格的に対応する必要があると判断した」。同社のDavid Levin情報セキュリティ担当ディレクターはそう語る(写真1)。

写真1●米Western UnionのDavid Levin情報セキュリティ担当ディレクター
写真1●米Western UnionのDavid Levin情報セキュリティ担当ディレクター
[画像のクリックで拡大表示]

 バグ報奨金制度を始めるに当たって同社は、米サンフランシスコに拠点を置くスタートアップ、Bugcrowdの協力を仰いだ。Bugcrowdは2012年に営業を開始した「バグ報奨金制度の代行事業者」だ。セキュリティ技術者がWestern Unionに報告してきたバグは、まずBugcrowdがその「深刻度」を検証。報奨金は深刻度に応じて支払われる。

 Western UnionのLevin氏は「当社のような一般企業では、報告されたバグが本物かどうか検証できない。そのために専門事業者に依頼した」と語る。ITが本業ではない一般企業がバグ報奨金制度を始められるようになった背景には、Bugcrowdのようなスタートアップの存在があった。

 「Bugcrowdの強みは、4万人のセキュリティ技術者が参加するコミュニティーを作っていること」。Bugcrowdマーケティング担当シニア・バイス・プレジデントのPaul Ross氏はそう説明する(写真2)。「DEF CON」や「Black Hat」、「AppSec」といったセキュリティカンファレンスでバグ報奨金制度に興味を持ちそうなセキュリティ技術者をリクルート。顧客企業が新しいシステムの稼働を開始する際には4万人のセキュリティ技術者に「バグ探索」を呼びかけ、成果報酬方式で報奨金を支払う。

写真2●Bugcrowdマーケティング担当シニア・バイス・プレジデントのPaul Ross氏
写真2●Bugcrowdマーケティング担当シニア・バイス・プレジデントのPaul Ross氏
[画像のクリックで拡大表示]

 Bugcrowdの顧客企業は公開・非公開を含めて286社で、2016年8月までに同社を通じて5万3113件のバグが見つかり、セキュリティ技術者に205万4721ドル(約2億円)の報奨金を支払った。見つかったバグ1件につき、40ドルほどを支払っている計算だ。