サイボウズ、サービスの脆弱性発見者に報奨金を支払う制度を新設

サイボウズは6月19日、同社の提供するクラウドサービス基盤「cybozu.com」およびその上で稼働するサービスの脆弱性を発見・報告した人に対し報酬金を支払う「脆弱性報奨金制度」を新設した。報奨金は、1万円～最大100万円となる見込みだという。

同社は、cybozu.comの信頼性を向上するため、本番環境から回線とサーバーを物理的に分離したシステムを提供し脆弱性発見への協力を募る「脆弱性検証環境提供プログラム」を2月から設置。これまでに、37件の報告を17名から受けている(6月17日時点)。この結果を受け、同プログラムの対象をパッケージ商品まで拡張したほか、新たに報奨金制度を新設し、製品を安心・安全に利用できる体制の整備や製品サービス開発の品質向上を目指す考えだ。

同制度の参加条件は「サイボウズ社員や関連会社社員でないこと」や「日本語か英語でCy-SIRT(サイボウズのCSIRT)とコミュニケーションできること」「検証環境にアクセスするための機材を用意できること」となる。脆弱性検証環境提供プログラムの利用は必須でなく、通常利用から発見・報告することも可能だ。

対象の製品は、以下の通り。

• cybozu.com 共通管理(セキュアアクセスを含む)
• cybozu.com上のサービス(Office / Garoon / kintone /メールワイズ)
• サイボウズ KUNAI
• サイボウズ リモートサービス
• kintone アプリ(iPhone / android)
• サイボウズ Office 10
• サイボウズ メールワイズ 5
• サイボウズガルーン 3 (全文検索サーバーを含む)
• Garoon 3 連携 API
• kintone API(REST API / JS API / User API)
• kintone アプリストア
• ネット連携サービス
• サイボウズ Live
• *.cybozu.com で提供される各 Web サイト

報奨金額は、共通脆弱性評価システム「CVSS v2」の評価結果を基に設定する。CVSS v2の基本値が7.0以上は「基本値×3万円」で算出し、CVSS v2の基本値が6.9以下の場合は「基本値×1万円」で算出した金額となる。これは問題1件あたりの算出方法であるため、1件の報告から複数の脆弱性が発見された場合は、最大で100万円の報奨金額を支払うという。また、Webページの問題を発見した場合は、一律で1件につき1万円の報奨金額を設定している。

なお、同制度は実施期間を6月19日～12月25日としており、その後については、制度の見直しを行って再開する予定。