こんにちは。Cy-PSIRT(Cybozu Product Security Incident Response Team)の福永です。
本エントリでは
- 2019年に実施した報奨金制度の結果
- 参加者からのご要望
について、ご紹介いたします。
2019年に実施した報奨金制度の結果
定量情報
2019年の定量情報は、次の通りです。*1
| 着信数 | 認定数(暫定) | 報奨金支払金額(暫定) |
|---|---|---|
| 489件 | 193件 | 15,348,000円 |
着信数が増加した要因
着信数は前年度と比較して、40%増えています。
2019年4月20日(土)、21日(日)に2年ぶりのバグハン合宿2019を開催し、そのイベントで多数報告いただいたことが、着信数の増加に繋がりました。 489件中196件がバグハン合宿でのご報告です。
認定数が増加した要因
認定数は前年度と比較して、26%増えています。
複数製品で発生する脆弱性をバグハンターの方から多数報告いただいたことが、認定数の増加に繋がりました。
一方、1件あたりの支払金額が大きい脆弱性が少なかったことで、報奨金支払金額は前年度比73%におさまっています。
2019年度報奨金獲得ランキング
総額ランキング
獲得した報奨金額の合計が最も多かったのは、米山 俊嗣(三井物産セキュアディレクション) 様でした。上位5名中4名が2018年度にもランクインされた方々です。他にもたくさんの方からご報告をいただいています。皆様ありがとうございました。
| 順位 | 掲載名 |
|---|---|
| 1位 | 米山 俊嗣(三井物産セキュアディレクション) 様 |
| 2位 | 西谷完太(イエラエセキュリティ) 様 |
| 3位 | 東内裕二(三井物産セキュアディレクション) 様 |
| 4位 | 馬場 将次(イエラエセキュリティ) 様 |
| 5位 | Tanghaifeng 様 |
脆弱性1件あたりの高額ランキング
報告いただいた脆弱性1件あたりの報奨金額が高額だった方のランキングです。総額ランキングに続き、米山 俊嗣(三井物産セキュアディレクション) 様に報告いただいた脆弱性が1位でした。おめでとうございます。
| 順位 | 掲載名 |
|---|---|
| 1位 | 米山 俊嗣(三井物産セキュアディレクション) 様 |
| 2位 | 西谷完太(イエラエセキュリティ) 様 |
| 3位 | 馬場 将次(イエラエセキュリティ) 様 |
| 4位 | 米山 俊嗣(三井物産セキュアディレクション) 様 |
| 5位 | Sunshine Hui(@bttthuan) 様 |
2019年度ポイントランキング
総獲得ポイントランキング
2019年度から、報奨金とは別にポイントを付与する施策を開始しました。ご報告いただいたもので「認定の有無にかかわらず有益な情報だった」「レポートの内容が的確であった」など、様々な視点でポイントを付与します。累計獲得ポイントに応じて感謝の気持ちとしてオリジナルTシャツなどの特典をお贈りしています。 獲得したポイントの合計が最も多かったのは、米山 俊嗣(三井物産セキュアディレクション) 様でした。
| 順位 | 掲載名 |
|---|---|
| 1位 | 米山 俊嗣(三井物産セキュアディレクション) 様 |
| 2位 | 東内裕二(三井物産セキュアディレクション) 様 |
| 3位 | 西谷完太(イエラエセキュリティ) 様 |
| 4位 | Tanghaifeng 様 |
| 5位 | 馬場 将次(イエラエセキュリティ) 様 |
2019年のトレンド
「CWE-79:XSS」「CWE-200:情報漏えい」「CWE-264:認可・権限・アクセス制御」が同率1位です。 例年と比べると、「CWE-200:情報漏えい」の報告が多いという結果でした。
2019年度、CWEタイプに「CWE-94:コード・インジェクション」を新たに追加しました。今まで「CWE-20:不適切な入力確認」などに分類していたコードインジェクションの脆弱性を、「CWE-94:コード・インジェクション」に分類できるようにしました。
参加者からのご要望
報奨金制度をより良くしていくために、 制度に参加いただいたバグハンターの方にアンケートを実施しました。皆様よりお寄せいただきましたご要望を一部ご紹介します。
運営に対するご要望
脆弱性の評価にかかる期間がまだ長い
報告が集中したり、報告いただいた内容が複雑だったりする場合には通常よりお時間をいただくケースもございます。ご了承ください。
評価大変かと思いますが頑張って下さい
あたたかいお言葉恐れ入ります。
報告用サイトに対するご要望
2019年12月に脆弱性報奨金制度の参加者向けに開設した報告用サイトに対するご要望です。
レポート記入欄にリッチエディターを利用できるようにしてほしい
早速設定しましたので、活用ください。
複数の報告事項を並列でやりとりしていたので事項ごとのステータスが把握しづらかった
報告した物の対応ステータスが分かるようになるといい
報告用サイトでは、ご自身の報告のステータスを一覧で確認できるようになっています。
メールアドレスを他の参加者に公開したくない
申し訳ございませんが、他の参加者から閲覧できても問題ないメールアドレスをお使いください。 報告用サイトにおいて、メールアドレスが他の参加者からも閲覧できるのは仕様です。
開示請求ボタンや修正ステータス欄も用意してほしい
対応予定はありません。 第三者への開示が可能かどうかは、報告用サイトのコメントにて都度ご確認いただく必要があります。 報告いただいた脆弱性を改修した際には、不具合情報公開サイトで公開していますので確認ください。
HackerOneなどの既存のプラットフォームを参考にしてほしい
他社のシステムも参考にしながら、使いやすいシステムを目指してまいります。
メールではなくてkintoneを使えばいいのにとずっと思っていた。報告用サイトには期待しかない
以前から要望いただいていた本件、ようやく実現しました。今後ともご報告お待ちしています。
2020年の取り組み
脆弱性報奨金制度 2020 始まります - Cybozu Inside Out | サイボウズエンジニアのブログ でご紹介しています。
さいごに
サイボウズでは、2020年も継続して報奨金制度を運営しています。
バグハンターの方にとって、魅力的な制度であり続けたいという思いで日々対応しておりますので、「サイボウズにこのような企画や施策を実施してほしい」というご要望がありましたら、 報告用サイトやメールでproductsecurity@cybozu.co.jpまでお気軽にご連絡いただければ幸いです。
今後とも、よろしくお願いいたします。
*1:2020年5月現在の暫定値であるため、評価の変動により増減する可能性があります。
