LINEは8月24日から1カ月間にわたり、LINEアプリの脆弱性報告への報奨金制度「LINE Bug Bounty Program」を実施した。なぜLINEがバグバウンティ(脆弱性報奨金プログラム)を始めたのか、LINEのセキュリティ体制はどうなっているのか、執行役員でCPO(Chief Privacy Office:個人情報保護に関する最高責任者)およびCISO(Chief Information Security Officer:最高情報セキュリティ責任者)を務める中山 剛志氏に尋ねた。

LINE 執行役員 CPO/CISO 中山 剛志氏

最大2万ドルの報奨金がもらえる「LINE Bug Bounty Program」

LINEでは初の試みとなる脆弱性報奨金プログラム「LINE Bug Bounty Program」。バグ・バウンティ・プログラムである脆弱性報奨金プログラムとは、自社のアプリやサービスの脆弱性を報告してくれた外部のユーザー(いわゆるバグ・ハンター)に対し、お金を支払う仕組みのこと。日本ではごく一部の企業しか実施していないが、海外ではGoogleやFacebookなど、大手のIT企業がこぞって実施している。

――「LINE Bug Bounty Program」を始めた理由は?

中山氏「第三者の目で、世界中の人々にいろいろな角度からチェックしてもらって、LINEを安全にするため。LINEでは、アプリの企画当初からセキュリティチームが入って安全性を確かめ、リリース後も脆弱性の確認を行っている。しかし、どんなアプリ・サービスにも脆弱性はある。あらゆる方法を使って脆弱性を見つけるために、初めての試みとしてバグ・バウンティ・プログラムを実施した」

9月23日まで実施されていた「LINE Bug Bounty Program」の報奨金。高額な報奨金が用意されていた

――「リモートコード実行の脆弱性発見で2万ドル以上」「盗聴・解読で1万ドル以上」など、高額な報奨金を用意されていたようだが、全体の予算は?

中山氏「全体の予算は特に決めていない。決めているのは最低金額のみで、重要な脆弱性であれば、これ以上払うつもりでいる。もしセキュリティ・ホールが見つかったとしても、出し惜しみするつもりはない。それで問題を防ぐことができるのなら、先行投資として安いものだと考えている。LINEはユーザーの情報を預かっており、それらはお金には代えられない大切なものであるからだ」

――脆弱性のランク付けは国際的な基準? それともLINE独自のものなのだろうか?

中山氏「LINE独自の基準で決めている。LINEで最も重要なポイントは『ユーザーの個人情報・プライバシー』なので、それに基づいて審査を行う。参加基準としては個人だけでなく企業も受け付けたほか、監督者がいれば未成年でも参加できる。英語ページも作って海外への呼びかけも行った」

――9月23日まで1カ月間かけて行われたということだが、反響は?

中山氏「スタートして10日ほどで100件を超える報告・問い合わせをいただいた。今回は期間限定だが、脆弱性報奨金プログラムがうまくいくようであれば、今後も実施したいと考えている」

LINEがセキュリティにしっかり取り組んでいるというアピールでもあり

プライベートでもLINEを使っている中山氏は「大事な人とのやり取りがLINEの目的。安全とプライバシーは最も重要だ」と語る

――LINEでは「政府による盗聴がある」という一部報道があったが、それについてはどうか?

中山氏「端末とサーバ間など外に出る通信については、世界最高水準の暗号化を行っている。調査した結果、盗聴などのアタックはなかったと判明した。私自身も妻とのやり取りなどびプライベートなメッセージにLINEを使っており、もし危険性があるのなら安心して使えない。安全性に自信があるからこそ、私自身もLINEを利用している」

――LINEでは今までセキュリティのことをあまり公開しないイメージがあったが、どうか?

中山氏「今までセキュリティチームが表立って情報発信をしてこなかったという反省はある。セキュリティチームはグローバルで40人、日本だけでも20人のチームが専任で動いているが、一部アピールが足りなかったと思っている。LINEが積極的にセキュリティに取り組んでいることを知ってもらい、ユーザーに安心してもらうために、これからは情報公開を進めていきたい」

――具体的には?

中山氏「今回のように脆弱性報奨金プログラムを実施したほか、情報公開ページ『LINEセキュリティ・プライバシーセンター』を開設した。見つかった脆弱性は、このページで公開していく」

――LINEにおけるセキュリティで最も大切なポイントは何か?

中山氏「LINEのミッションは『安心安全なサービスをスピーディーにユーザーに提供する』こと。LINEは他のSNSとは異なり『親しい人とより親密なコミュニケーションをする』ことが主眼のサービス。だからこそ、大事な人との会話を安全にすることが絶対的に重要になる。お題目ではなく、トップマネジメント(取締役会)が責任を持ってセキュリティとプライバシー保護に取り組んでいる」

――ユーザー側のセキュリティ意識はどうだろうか?

中山氏「5千万人以上のユーザーがいるため、セキュリティの意識はばらつきがある。パスワードやスマートフォンの管理をしっかりすることなど、ネットサービス全般を使う時の基礎知識から伝えていかなくてはならないだろう。LINEではCSRチームが全国を飛び回って啓蒙を行っている」

――昨年の乗っ取り騒ぎの時に、ユーザーに対して最も効果があったのは何か?

中山氏「注意喚起やパスワード変更を行った人に対するスタンプ配布、PINコードの導入など、いくつもの対策を積み重ねていった。LINEはユーザー数が多いので、少しずつわかるように対策をしていく必要があった。その意味では、パスワード変更によるスタンプ配布は、ユーザーの多くに利用していただき効果があったようだ」

――LINEの今後のセキュリティの取り組みは?

中山氏「今回の『LINE Bug Bounty Program』は初めての試みであり、1カ月の限定で行った。効果があるようなら今後も実施して、LINEの安全性向上につなげていきたい。またユーザー向けに、LINEを安全に使うための知識を高めてもらう取り組みも行っていく」

今回のインタビューは、LINEのセキュリティ責任者が初めてメディアに登場するものだった。このような情報公開と、バグ・バウンティのような第三者の目によるチェックで、LINEが安心して使えるようになることを期待したい。