ゼロデイ攻撃を防ぐ「脆弱性報奨金制度」 2月2日より受付開始
特定の攻撃に関する脆弱性の報奨金を増額し、支払いサイクルを改訂
サイボウズ株式会社 (本社: 東京都文京区、代表取締役社長:青野慶久) は、2015年2月2日(月)より「脆弱性報奨金制度」を昨年に引き続き実施いたします。これまでご協力いただいた皆様に感謝するとともに、2014年の結果と2015年の改訂点をご報告いたします。
2014年の結果
脆弱性報奨金制度は、社内のセキュリティ・エンジニアの育成や第三者機関による定期的な検証に加え、「外部の目」の協力を得て脆弱性を発見する取り組みを継続的に行うことで、ゼロデイ攻撃の可能性を未然に防ぎ、弊社製品を安心、安全に利用できることを目的としたものです。2014年は 95 名の方にご協力いただき、以下の結果となりました。
| 開催期間 | 2014年6月19日(木)~12月25日(木) |
|---|---|
| 報告件数 | 241件 (内 認定された脆弱性の件数 158件) |
| 報奨金支払い額 | 687万円(2014 年 12 月末 295 万円 支払完了) |
外部の協力者と共にゼロデイ攻撃を防御する
外部からご報告いただいた脆弱性は脆弱性報奨金制度を設ける前の2013年が26件だったのに対し、2014年は158件まで増加しました。
サイバー攻撃の手法は日々進化します。広く外部の英知を集結し早急に脆弱性を発見することがゼロデイ攻撃を防御するには不可欠です。「脆弱性報奨金制度」を設け、広く外部の協力を仰ぐことでゼロデイ攻撃の可能性にさらされていた脆弱性を約6倍把握出来るようになりました。
2015年度の実施概要
これまでに参加された皆様からいただいたご意見を元に、報奨金算出方法を追加し支払いサイクルを変更いたしました。
| 対象 | クラウドサービス基盤 cybozu.com で稼働する各サービス等(詳細ページご参照) |
|---|---|
| 期間 | 2015年2月2日(月)~12 月 25 日(金) |
| 報奨金算出方法 の追加 |
2014年ルール
|
| 報奨金振り込み サイクルの変更 |
2014年:脆弱性を改修し情報公開でき次第お支払い。 2015年:下記いずれかの条件を満たした月の「翌月」最終営業日にお支払い。
|
| 詳細と申込 | http://cybozu.co.jp/company/security/bug-bounty/index.html(2月2日更新) |
| 問い合わせ | productsecurity@cybozu.co.jp |
ご報告内容を検証することで、これまで実施してきた手法では見つけられなかったような新たな脆弱性の出現シーンを知ることにもつながりました。いただいた報告をノウハウとして蓄積し、今後の社内検証に役立てるとともに、日々進化するゼロデイ攻撃の防御を目指し、引き続き社外識者の方々の協力を得てセキュリティを高めて参ります。
□ゼロデイ攻撃とは
ソフトウエアのセキュリティ上の欠陥が発見された際、その情報や対策が広く告知される前に、攻撃を加えること。
- 報道関係者様からのお問い合わせ先
- サイボウズ株式会社 マーケティングコミュニケーション部:浅野 亜未奈
〒112-0004 東京都文京区後楽 1-4-14 後楽森ビル12階
TEL: 03-5805-9051 / FAX: 03-5805-9036 / MAIL: pr@cybozu.co.jp
※記載された商品名、各製品名は各社の登録商標または商標です。また、当社製品には他社の著作物が含まれていることがあります。個別の商標・著作物に関する注記については、こちらをご参照下さい。
