サイボウズ、4年ぶりに「バグハンター合宿」を開催‐累計報奨金は約6350万円

クラウド型の業務支援ソフトなどを手がけるサイボウズは11月18～19日の2日間、神奈川県湯河原町にある旅館にて、社外のセキュリティ技術者や研究者(バグハンター)に同社製品の脆弱性を発見・報告してもらう「サイボウズ バグハンター合宿 2023」を開催した。

• 「サイボウズ バグハンター合宿 2023」の様子(19日、神奈川県湯河原町)

同合宿では、2日間で集中的に脆弱性を報告してもらい、サイボウズ製品のセキュリティ品質向上を担当しているチーム「Cy-PSIRT(Cybozu Product Security Incident Response Team)」が脆弱性認定を行った。コロナ禍を経て4年ぶりの開催となった。

サイボウズが支払った脆弱性報奨金は累計約6350万円

サイボウズは2014年に「脆弱性報奨金制度」を開始。同制度はサイボウズが提供するクラウド型業務支援ソフト「kintone(キントーン)」や、情報共有支援ソフト「Garoon(ガルーン)」、グループウェア「サイボウズ Office」などの製品に存在する脆弱性の発見・報告を行ったバグハンターに謝礼として報奨金を支払う制度だ。

脆弱性の早期発見・改修やセキュリティ品質の向上につなげるための取り組みで、一般的には「バグバウンティ」と呼ばれる。サイボウズに届いたこれまでの脆弱性の報告は累計1715件で、認定数は711件、報奨金は約6350万円に上る。

• 「サイボウズ バグハンター合宿 2023」バグハンターの様子

バグハンター合宿は、第1回を2014年、第2回を2017年、第3回を2019年に開催し、今回で4回目の開催となる。前回(2019年)は12名のバグハンターが参加し、2日間で198件の脆弱性を発見・報告し、サイボウズは約500万円の報奨金を支払った。

4年ぶりの開催となる今回の合宿に潜入してみると、そこでは、静かに白熱したバグハンティングが展開されていた。彼らが発見した脆弱性は何件あったのだろうか。