こんにちは！Cy-PSIRT の大塚 純平です。

サイボウズ脆弱性報奨金制度（以下、報奨金制度という。）も今年で6年目になりました。 本エントリでは、2019年度の報奨金制度についてご紹介いたします。

脆弱性報奨金制度2019

期間

2019年4月20日(土) ~ 2019年12月18日(水)

※報奨金制度2019のルールが適用されるのは2018年12月20日(木)17時 ~ 2019年12月18日(水)の間に着信したご報告になります。

※2019年12月19日(木)以降もご報告を受け付けますが、適用されるルールは次年度の報奨金制度のルールです。

認定基準

脆弱性の認定可否の基準は脆弱性報奨金制度ルールブックおよび、脆弱性認定ガイドラインをご覧ください。

※状況に応じて脆弱性認定ガイドラインの追加または変更を随時行っています。

施策

報奨金最大5倍キャンペーン通年実施

報奨金制度2019でも2018年同様、通年で実施いたします。

製品ごとに報奨金の倍率が異なります。
kintoneやcybozu.com 共通管理、cybozu.com 運用基盤では5倍、Garoonでは2倍を掛けた報奨金をお支払いいたします。 脆弱性報告数および脆弱性検出数が減少傾向にある製品に、注力していただけるように倍率を変更しました。

バグハン合宿2019

2019年4月20日(土), 21日(日) に、2年ぶり3度目となる「バグハン合宿 2019」を開催いたします！

合宿はチーム戦(1チームにハンター3人+弊社開発1人)で行われます。合宿でのみ触れる製品を用意し、ハンター同士、ハンターと運営との交流にも力を入れる予定です。報奨金が支払われると共に、優勝チームなどには賞品を用意しております。
こちらも追って報告いたしますので、お楽しみにお待ちください！

ポイント制度

ご報告いただいたもので、認定とならなかったものに対しても”ポイント”を付与し、累計獲得ポイントに応じて感謝の気持ちとしてオリジナルTシャツなどの賞品を贈呈させていただきます。

2018年度以前の報奨金制度では、脆弱性認定しなかった報告でも、有益な情報を多数報告いただきました。
2019年度の報奨金制度ではそのような報告に対して、報奨金のお支払い対象とはならなくても、ポイントという形で感謝の気持ちをお伝えできればと考えています。

弊社が決めた基準に基づいて付与される通常ポイントだけではなく、年に一度、影響度の大きさなど 総合的に判断して付与する特別ポイントなど、様々な加点項目をご用意しております。

詳しい加点ルールにつきましては、脆弱性報奨金制度ルールブックをご確認ください。

賞品の送付時期

1. 累計獲得ポイントが100ptに達したときに賞品を贈呈

累計獲得ポイントを集計し、100ptに達した翌月に弊社より賞品を送付させていただきます。
※ポイントは年度切り替え時にリセットされます。

2. 年間累計獲得ポイントランキングで上位3位にランクインしたら賞品を贈呈

報奨金制度2019終了後、累計獲得ポイントランキングの上位3名の方には、賞品を送付させていただきます。

※ 1, 2は異なる賞品をご用意する予定です。

リアルタイムランキングへの掲載

今年度は、次の2つのリアルタイムランキングを、Cybozu 報奨金制度公式アカウントにて掲載いたします。

• 報奨金額の上位5名（お名前のみ ※報奨金額は掲載しません）
  ※順位に変動があった際に掲載いたします。

• 累計獲得ポイントの上位5名（お名前と累計獲得ポイント）
  ※週次で掲載いたします。

最後に

2018年度の報奨金制度では、多くのハンターの皆様に支えられ、過去最多のご報告をいただきました。実際の報告件数等につきましては、 別エントリで報告させていただきます。

サイボウズ製品のセキュリティ品質向上にご協力いただき、ありがとうございました。 2019年度の報奨金制度でも、皆様のご報告をお待ちしております。