2021年度の報奨金制度を振り返って

こんにちは。Cy-PSIRTの長友(@naga_hito)です。 このエントリでは、2021年度実施した報奨金制度を振りかえります。

数字で見る2021年度脆弱性報奨金制度

まずは、2021年度の報告数や認定数についてお伝えします。

着信数と認定率

全体

着信数 認定数 認定率 支払額
49件 8件 16% 885,000円

ここ数年と比較すると減少傾向にあります。対象製品の変更や、お支払額の変更などが影響しているのでは、と考えています。 今年度もお支払額やポイントに関する変更点がございます。詳しくはこちらのエントリをご覧ください。特にポイント制度は大幅に変更されています。

なお、2021年度に報奨金とポイントを一番多く獲得されたのは閏間 修一さま(560 pt)でした。おめでとうございます。

製品別の報告数

製品 着信数 認定数
Office 10件 4件
Garoon 9件 1件
kintone 7件 2件
運用基盤 2件 0件
cybozu.com 共通管理 2件 0件
メールワイズ 1件 1件
ホームページ 18件 0件

製品ごと(ホームページは除く)に確認すると、認定数・報告数ともにOfficeが一位でした。 各製品、様々な機能が追加されていますので、お時間あればぜひ検証してみてください。追加された機能については、アップデート情報なども参考になります。

製品別アクセス数

検証環境提供プログラムで提供している環境で、どの製品に最もアクセスされたかをご紹介します。

順位 製品名 アクセス数
1位 kintone 31,088,563
2位 Garoon 31,019,359
3位 Office 31,018,215
4位 cybozu.com 共通管理 31,006,787
5位 メールワイズ 30,976,835

必ずしも、よくアクセスされた製品の報告が多いというわけではない、ということがうかがえます。

CWEタイプで見る2021年脆弱性報奨金制度

昨年度ご報告いただいた報告のCWEタイプの上位5件を、ランキング形式でご紹介します。

順位 CWEタイプ
1位 CWE-264 認可・権限・アクセス制御
2位 CWE-Other その他
3位 CWE-79 クロスサイトスクリプティング
4位 CWE-200 情報漏えい
5位 CWE-399 リソース管理の問題

OWASP Top10 2021でも、「アクセス制御の不備」が上位にランクインしていましたが、当社の着信状況でもアクセス制御の不備に含まれるCWEタイプ(CWE-264、CWE-200)が1位、4位にランクインしています。
2020年2019年のふりかえりでも「CWE-200:情報漏えい」「CWE-264:認可・権限・アクセス制御」が上位にランクインしていたため、しばらくはこのトレンドが続くのでは、と考えています。

アンケートへの返答

報告用サイトで実施したアンケートでいただいたご意見の一部をご紹介します。

2021年度はtwitterでのランキングが行われなかったのは残念でした。ぜひ復活を望みます。

今年はそもそも認定数がかなり少なかったため、Twitterでのランキングは割愛させていただきました。
2022年度はリアルタイム性の高いランキングを公開する予定です。参加者の方にご興味を持っていただけるような施策等も検討しています。

日本でもっと脆弱性報奨金制度が広がり社会全体がセキュアな方向に向かうよう、社会全体に脆弱性報奨金制度の良さを発信する。

報奨金制度に関する情報発信は今後も行っていきたいと考えています。
Twitterやブログ等でも情報発信を考えていますので、ぜひご覧ください。

終わりに

サイボウズでは、2022年も脆弱性報奨金制度を運営しています。詳細はこちらのエントリをご確認ください。 バグハンターのみなさまにとっても、製品のユーザのみなさまにとっても、よりよい制度や製品を提供したいという一心で運営をしております。
もし、「サイボウズにこのような企画や施策を実施してほしい」というご要望がありましたら、 報告用サイトやメール(productsecurity@cybozu.co.jp)、Twitter(@cybozubugbounty)などでお気軽にお寄せください。
今後とも、サイボウズ報奨金制度へのご理解、ご協力のほど、よろしくお願いいたします。