脆弱性報奨金制度 2020 始まります

こんにちは。Cy-PSIRT の長友です。2019 年度の報奨金制度では、たくさんのバグハンターの皆様にたくさんのご報告をいただきました。サイボウズ製品のセキュリティ品質向上への取り組みにご協力いただき大変感謝しています。
このエントリーでは、2020 年度の脆弱性報奨金制度についてご紹介します。

脆弱性報奨金制度 2020

サイボウズ脆弱性報奨金制度が開始して 7 年目に突入しました。今年度の制度概要は以下の通りです。 詳細につきましては、脆弱性報奨金制度のページをご確認ください。

脆弱性報奨金制度の実施期間

2020 年 4 月 24 日(金)~ 2020 年 12 月 18 日(金)
※終了日以降もご報告を受け付けますが、次年度の報奨金制度のルールが適用されます。ご注意ください。

制度のルール

制度のルールに関しては、脆弱性報奨金制度ルールブックおよび脆弱性認定ガイドラインをご確認ください。
昨年度参加された皆様は、今年度からお支払い金額の算出に関するルールが大幅に変更されている点にご注意ください。CVSSv3 基本値を金額算出の基準とするのをやめて、脆弱性の種別に応じてレンジを設定しました。報告されたレポートの傾向に応じて、脆弱性の種別は変更されるかもしれません。詳しい算出方法に関しては上記の脆弱性報奨金制度ルールブックをご確認ください。

脆弱性報奨金制度の対象製品

対象製品は以下のページに掲載されています。参加を考えられている方は必ずご確認ください。 https://cybozu.co.jp/products/bug-bounty/

なお、一部のパッケージ製品および周辺サービスが今年度の脆弱性報奨金制度の対象から外れています。昨年度参加された皆様はご注意ください。

今年度の注目ポイント

脆弱性報告用サイト

これまでは脆弱性報告をメールまたは Web フォームから受け付けていましたが、本年度から脆弱性報告を受け付けるための専用システム(以下、報告用サイト)をご用意しました。
報告用サイトのアカウント作成に関しては脆弱性報奨金制度のページをご確認ください。

プライベートプログラム

昨年度、一部のバグハンターの方のみにご参加いただけるプライベートプログラムを試験的に実施しました。今年度の開催は現時点では未定ですが、実施ができたらいいなと考えています。
開催が決定次第、対象の皆様へ個別にご連絡いたします。

報奨金最大 5 倍キャンペーン通年実施

報奨金最大 5 倍キャンペーン、今年度も実施します。
製品によって報奨金の倍率が異なります。
昨年度参加された皆様は、キャンペーン対象製品が一部変更になっていることにご注意ください。

製品 倍率
kintone
kintone モバイル
cybozu.com 共通管理
cybozu.com 運用基盤
5 倍
Garoon 2 倍
その他 1 倍

ポイント制度

こちらも、今年度も実施いたします。 ご報告いただいたもので、「認定の有無にかかわらず有益な情報だった」「レポートの内容が的確であった」など、様々な視点で「ポイント」を付与します。そして、累計獲得ポイントに応じてオリジナル T シャツなどの特典をお贈りします。
詳しい加点のルールに関しては脆弱性報奨金ルールブックをご確認ください。
特典をお贈りする条件は以下の 3 つです。

  1. 対象年度中の獲得ポイントの合計が 100pt に達した(先着順)
  2. 対象年度中の獲得ポイントの合計が 300pt に達した(先着順)
  3. 対象年度末の獲得ポイントのランキング上位 3 名に入った

それぞれ、違う特典をご用意しておりますので、奮ってご参加ください。

リアルタイムランキング

今年度も 2 つのランキングを@cybozubugbountyにて公開いたします。

  • 報奨金額上位 5 名(お名前)
  • 累計獲得ポイント上位 5 名(お名前、累計獲得ポイント)

おわりに

改めて、2019 年度の脆弱性報奨金制度にご参加いただいたすべてのバグハンターの皆様に感謝を申し上げます。 今年度の脆弱性報奨金制度でもたくさんのご報告をお待ちしております。
なお、昨年度の報告件数や傾向などについては、集計が完了次第別エントリーにて公開を予定しております。こちらもお楽しみに。