サイファイ速報

科学・SFを中心に最新の話題から懐かしの作品まで! 理系・科学/SF(サイファイ)好きのためのまとめサイト!!

バグ


programmer


1: ジャーマンスープレックス(大阪府)@\(^o^)/ 2014/12/20(土) 11:57:51.76 ID:JJHndEP+0.net BE:711292139-PLT(13121) ポイント特典
 ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。
開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。

 GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。
12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。

 キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)。特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、活動時間は“やる気のある時”とのこと。
主に夕方から深夜にやる気が高まるそうだ。生計のほとんどがベンダーから支払われる報奨金であり、2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
2014年は収入がアップしそうだという。

 キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、報告件数は世界で2番目に多い。
報告内容ではXSSが73%を占め、キヌガワさんの強みが目立っている。

 バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、
問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。

 こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、キヌガワさんは評価する。
同社は2013年に報奨金の額を大幅にアップするなど制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。

 しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。
日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。

全文ソース
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html

続きを読む