米Facebookがセキュリティ強化に向けた報奨金制度「Security Bug Bounty」を開始した。セキュリティバグを報告したセキュリティ研究者に謝礼金を支払う。
同プログラムの対象は、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(XSRF/CSRF)、リモートコードインジェクションなど、Facebookのデータ整合性やユーザーのプライバシーに被害を与え得る未知のセキュリティバグに関する情報だ。ただし、サードパーティのアプリケーション、Facebookに統合されたサードパーティのWebサイト、DoSに対する脆弱性、スパムおよびソーシャルエンジニアリングの手口などに関する情報は対象外。奨励金は1件500ドルに設定されており、報告の内容によって金額を引き上げるという。
GoogleやMozillaもすでに同様の報奨金制度を用意しており、謝礼金はどちらも500ドルからとなっている。Googleは昨年7月にChromiumのSecSeverity-Criticalバグの情報に3,133.70ドルを支払ったことを明らかにした。
セキュリティ研究者の協力を促すのに500ドルという基本金額が低すぎるという指摘もあるが、セキュリティバグの報奨金制度のメリットは謝礼金だけではない。企業からの信頼を得たセキュリティ研究者は、セキュリティ問題のテスト用に専用アカウントが利用できるようになる。充実した研究環境の見返りにセキュリティ研究者が最新のセキュリティ分析を提供することで、企業側は従来のセキュリティ監査よりも迅速なセキュリティ改善が可能になる。報奨金制度を通じて、セキュリティ研究者コミュニティと企業がお互いに利益のある新たな関係を構築している。
