Sky株式会社は1月27日、同社サービスのセキュリティ強化を目的としたSky脆弱性報奨金制度(Sky Bug Bounty Program)の開始を発表した。大手の国産資産管理ソフトとしては初のバグバウンティプログラムの採用。
脆弱性報奨金制度とは、ソフトウェアやWebアプリケーションに存在する、サイバー攻撃に悪用される脆弱性の発見を公募する方法で、Google、Amazon、Facebook、Apple他、多くの企業で採用されており、日本ではLINEやサイボウズなどが独自の脆弱性報奨金制度を運用している。発見した脆弱性の重大度に応じて、多い場合は日本円で7桁あるいは8桁の報奨金が支払われる場合もある。
Sky脆弱性報奨金制度は、同社が提供する製品やサービスなどのセキュリティに関する脆弱性の発見を全世界から募集し、報告者に報奨金を支払う制度。同制度の監修は株式会社川口設計が行い、制度設計からリリースに至るまで全面的に協力した。
株式会社川口設計 代表取締役の川口 洋 氏は本誌の取材に応え、同社にとって脆弱性報奨金制度の制度設計は初めての取り組みであり、まったくのゼロから相談に乗り、監修を行ったという。「どういう条件で支払いをするか」「支払いルール」」「税金」「反社対応」等々考えることがとても多かった、と語った。
国内で高いシェアを持つSky 製品の脆弱性については、JPCERTコーディネーションセンター(JPCERT/CC)が2019年2月19日に、攻撃グループTickによる日本の組織をターゲットにした攻撃活動で、Skyが2016年12月21日に公開した「SKYSEA Client View」の脆弱性(CVE-2016-7836)を悪用した攻撃である旨の周知を行うなどされていた。
