こんにちは、Cy-PSIRTの久保です。

いよいよ2022年度のサイボウズ脆弱性報奨金制度が開始となります！ 本記事では今年度の概要や変更点についてご紹介したいと思います。

サイボウズ脆弱性報奨金制度とは

サイボウズ脆弱性報奨金制度は、弊社サービスに存在する脆弱性を早期に発見・改修することを目的とする制度です。対象製品の脆弱性を報告いただいた方に、謝礼として報奨金をお支払いしています。検証に際して参加者ごとに専用の環境を提供しており、本番環境への影響を気にすることなくご参加いただけます。

脆弱性報奨金制度2022

期間

2022年4月22日(金) 10:00 〜 2022年12月16日(金) 23:59 [JST]

※2022年12月17日(土)以降もご報告を受け付けますが、適用されるルールは次年度の脆弱性報奨金制度のルールです。

ルール

脆弱性報奨金制度のルールは脆弱性報奨金制度ルールブックおよび、脆弱性認定ガイドラインをご覧ください。

また、対象製品は以下のページに掲載されています。参加を考えられている方は必ずご確認ください。 https://cybozu.co.jp/products/bug-bounty/

主な変更点

それでは2022年度の主な変更点をご紹介します。

• 報奨金額
  • 上限の増額
  • Officeとメールワイズの増額
  • 脆弱性種別と金額の見直し
• ポイント制度
  • ランク制度の導入
  • ポイントランキングの公開範囲拡大
  • ポイントが持ち越し可能に
  • 賞品交換の拡充

報奨金額

上限の増額

脆弱性1件当たりの報奨金上限額が、1,000,000円から2,000,000円に倍額となります。

Officeとメールワイズの増額

Officeとメールワイズの報奨金額が前年度から増額となり、Garoonと同水準になります。

脆弱性種別と金額の見直し

その他、脆弱性種別と金額の見直しを行いました。

詳細は以下の表をご覧ください。

ポイント制度

脆弱性報奨金制度では「認定の有無にかかわらず有益な情報だった」「レポートの内容が的確であった」など、様々な視点で「ポイント」を付与しています。 2021年度以前は累計獲得ポイントに応じたオリジナルの賞品などを贈呈してきましたが、今年度から運用が大きく変わります。

詳細につきましてはルールブックをご確認ください。また、報奨金制度公式Twitterアカウント(@CybozuBugBounty)からも紹介をしてまいりますので、ぜひフォローをお願いいたします。

ランク制度の導入

一定の条件を満たす報告者にランクを付与する制度を導入します。 4段階あるランクに応じて、特典により獲得できるポイント数が増加するようになります。

ポイントランキングの公開範囲拡大

従来のポイントランキング上位5名のみだけではなく、ポイント獲得者全員の順位を公開します。

ポイントが持ち越し可能に

年度ごとのポイント失効を廃止し、翌年度以降に持ち越してポイントを貯めることができるようになります。 ただし、付与から3年経過したポイントに関しては失効となります。

賞品交換の拡充

従来は一定のポイント数を達成した方のみが対象でしたが、今年度からは報奨金制度の参加者全員が獲得ポイントを賞品と交換することができるようになります。賞品リストは鋭意作成中です。

最後に

2021年度の脆弱性報奨金制度では、サイボウズ製品のセキュリティ品質向上にご協力いただき、ありがとうございました。 詳細な結果につきましては、 別記事で報告させていただきます。

今年度はプライベートプログラムなども計画中です！変更点を含むこれらの取り組みが、ハンターの皆様の興味に繋がると幸いです。それでは皆様のご参加をお待ちしております。