2017年 報奨金制度を振り返って

こんにちは。Cy-PSIRT の山西です。

本エントリでは、

  • 2017 年に実施した脆弱性報奨金制度の結果
  • 参加者からの要望への回答
  • 2018年の取り組み

についてまとめました。

2017 年に実施した脆弱性報奨金制度の結果

定量情報

2017年の脆弱性認定件数は102件、報奨金支払い額は10,996,000円でした。

f:id:cybozuinsideout:20180809132803p:plain

前年度と比較して報告件数が増加し、報奨金支払金額が倍以上に増えています。「報奨金最大5倍キャンペーン」と「バグハン合宿」が主な要因です。 7月7日から開始した「報奨金最大5倍キャンペーン」では期間中に 146 件の報告があり、その支払金額は 4,150,000 円でした。またキャンペーン期間中に開催した「バグハン合宿」では 2 日間で 57 件の報告があり、本年度の報告数の4分の1を占めています。

詳しくはバグハン合宿のレポートをご覧ください。

blog.cybozu.io

トレンド

1位(不適切な入力確認)と2位(XSS)で認定件数の半分を占めています。前年と比べると1位と2位が逆転しました。 3位の「CWE-DesignError システム設計の問題」では、機能として実装または設定していないことで脅威につながる問題が報告されていました。

認定した脆弱性を脆弱性タイプ毎に集計

f:id:cybozuinsideout:20180806115229p:plain

「XSS」として認定するまでに至らなくても機密性・完全性・可用性を侵害する場合は「不適切な入力」として扱います。「不適切な入力確認」は、誰にどこまで影響があれば脆弱性と扱うか判断が難しいです。 都度社内で議論し、結果を脆弱性認定ガイドラインに反映してまいります。

2017年度報奨金獲得ランキング

獲得した報奨金額が最も多かったのは Masato Kinugawa 様でした。他にもたくさんの方からご報告をいただいています。皆様、ご報告ありがとうございました。

順位掲載名
1位 Masato Kinugawa 様
2位閏間 修一 様
3位東内裕二(@yousukezan)様
4位小勝純(@shhnjk)様
5位ixama 様

参加者からの要望への回答

本年度も、報奨金制度へ参加してくれた方に対してアンケートを実施しました。今後の制度運営やイベントの企画に活かしてまいります。いただいた要望に回答します。

また合宿を開催してほしい

「熱き戦いを再び!」

2019年4月を目標に開催を検討しています。

やる気はあります!続報をお待ちください。

対象サービスを増やして欲しい

確約はいたしかねますが、対象を広げることも検討しています。

サイト上でやり取りできるようにしてほしい

長期の施策として検討を進めています。短期間での実現は難しいです。 しばらくはメールでの対応とさせていただきます。

製品のソースコードが欲しい

関係者外へのソースコードの開示は行っておりません。ご了承ください。

2018年の取り組み

報奨金のお支払い金額の見直しとお支払金額の計算式の開示

前年の最大5倍キャンペーンに合わせて、報奨金額の計算式を変更いたしました。計算式は、脆弱性報奨金制度 - 報奨金制度ルールブックにも反映しました。「6.1 お支払金額の計算式」をご参照ください。

サイトの英語化

以下のドキュメントの英語化を進めています。

シークレットパーティの開催

参加者・関係者の方にお声がけし、クローズドな情報交換の場をご用意しようと考えています。参加いただく方にNDAを結んでいただくことで、非公開情報を含む内容の LT など、より内容の濃いイベントにしたいと考えています。

ポイント制度の導入

ポイント制度の導入を検討しています。まだ、漠然としたアイディアの段階ですが、報奨金のお支払いには反映できない部分をポイントに反映していきたいと考えています。具体的には以下のような部分をポイントに反映していきたいと考えています。

  • 弊社内での報告のインパクト
  • 報告の丁寧さ・わかりやすさ
  • 弊社内の新しい検証観点につながるか
  • 脆弱性認定されなかったがセキュリティ向上に有益な報告
  • 報告数

ポイントは希望者のみでランキング化し、ランキング上位の方には報奨金以外でお礼ができればと考えています。また、ランキングの公開も検討しています。

今後の活動について

ここ数ヶ月で、報告の件数が増えています。報告者の皆様には評価連絡が遅くなりご不便をおかけしております。 本年度の残りもだいぶ少なくなってきましたが、より良い制度を報告者の方と一緒に作っていきたいと考えています。引き続き報奨金制度の改善に努めてまいります。報奨金制度に限らず「サイボウズにこんな企画してほしい」という要望がございましたら、 productsecurity@cybozu.co.jp までお気軽にご連絡ください。