2018年 報奨金制度を振り返って

こんにちは。Cy-PSIRT(Cybozu Product Security Incident Response Team)の福永です。

本エントリでは

  • 2018年に実施した報奨金制度の結果
  • 参加者からのご意見

について、ご紹介いたします。

2018年に実施した報奨金制度の結果

定量情報

2018年の脆弱性認定数は155件、報奨金支払金額は21,055,000円でした。*1

着信数認定数(暫定)報奨金支払金額(暫定)
362件155件21,055,000 円

前年度と比較して、着信数、認定数ともに約1.5倍に増加し、報奨金支払金額の合計も倍近くに増えました。2017年7月7日から開始した「報奨金最大5倍キャンペーン」を、2018年には、通年化したことが主な要因です。 2015年から2018年の着信数、認定数、報奨金支払い金額

2018年度報奨金獲得ランキング

総額ランキング

獲得した報奨金額の合計が最も多かったのは、西谷完太(@no1zy_sec)様でした。他にもたくさんの方からご報告をいただいています。皆様ありがとうございました。

順位掲載名
1位 西谷完太(@no1zy_sec)様
2位東内裕二(@yousukezan)様
3位米山 俊嗣(三井物産セキュアディレクション) 様
4位Masato Kinugawa 様
5位馬場 将次(株式会社神戸デジタル・ラボ)様


脆弱性1件あたりの高額ランキング

報告いただいた脆弱性1件あたりの報奨金額が高額だった方のランキングです。馬場 将次(株式会社神戸デジタル・ラボ)様に報告いただいた脆弱性が1位でした。おめでとうございます。

順位掲載名
1位 馬場 将次(株式会社神戸デジタル・ラボ)様
2位米山 俊嗣(三井物産セキュアディレクション) 様
3位Masato Kinugawa 様
4位東内裕二(@yousukezan)様
5位東内裕二(@yousukezan)様

2018年のトレンド

1位(XSS)と2位(不適切な入力確認)で認定数の半分を占めています。2016年の1位、2017年の2位「XSS」が2018年の1位に返り咲きました。例年と比べると、「CSRF」と「パス・トラバーサル」の報告が多いという結果でした。

認定された脆弱性(脆弱性タイプ別)

また、2018年の傾向として「海外の方からのご報告が多くなった」という点が欠かせません。 各種ドキュメントの英語化を進めている影響が直に出ているのか、全体の着信数362件のうち11パーセントにあたる41件が英語でのご報告でした。 前年度は、全体の着信数228件のうち3パーセントにあたる7件でしたので、前年度と比較して、割合でみると8ポイント増です。

今後とも、多くの方にご参加いただけると嬉しいです。

参加者からのご意見

弊社の報奨金制度をより良くしていくために、 制度に参加いただいたバグハンターの方にアンケートを実施しました。皆様よりお寄せいただきましたご意見を一部、ご紹介します。

  • 評価にブレがある

評価基準が途中で変更になることもあり、過去の評価とは必ずしも一致しません。新しい攻撃手法が明らかになるなかで、評価基準については、日々社内で検討を重ねているためです。何卒ご容赦ください。

  • 謎ルールが存在する

参加者の皆様にとって分かりやすい制度となることを目指して、また、参加者間でルールについての認知に差が出ないようにするため、可能な範囲で、報奨金制度ルールブックや、脆弱性認定ガイドラインでの公表を進めてまいります。

  • バグハン合宿に参加していないとリアルタイムランキングに不利

2019年度は、制度開始と同時にバグハン合宿があったことで、合宿への参加がリアルタイムランキングに有利に働くのでは、というご意見です。

こちらに関しては、前年度の制度終了(通常12月後半)以降に着信したご報告も、翌年度の集計対象に含みますので、ぜひ、制度開始を待たずに、ご報告いただければと思います。

  • 再評価のプロセスを教えてほしい

次のケースにおいて、再評価を実施しました。基本的には再評価は行っていません。

  • 他の脆弱性情報を起点に社内で議論に上がり、以前の報告についても評価を見直したケース
  • 情報公開対応を進める過程で、外部機関より評価について指摘が入り見直したケース


ありがたいお言葉も頂戴いたしました。

  • 評価大変かと思いますが、頑張って下さい!
  • The way you communicate and provide quick response is fabulous. Really loved the work you guys passionately do. Keep doing and making much secure Cybozu.

2019年の取り組み

脆弱性報奨金制度2019 はじまります - Cybozu Inside Out | サイボウズエンジニアのブログ でご紹介しています。

さいごに

サイボウズでは、2019年も継続して報奨金制度を運営しています。

バグハンターの方にとって、魅力的な制度であり続けたいという思いで日々対応しておりますので、「サイボウズにこのような企画や施策を実施してほしい」というご要望がありましたら、 メールで productsecurity@cybozu.co.jp までお気軽にご連絡いただければ幸いです。

今後とも、よろしくお願いいたします。

*1:2019年6月現在の暫定値であるため、評価の変動により増減する可能性があります。最終結果は、確定次第アップデートいたします。