カリフォルニア大学バークレー校の研究者らによると、ソフトウェアの問題を発見した独立系セキュリティ研究者に報酬を支払うことは、同じ仕事をする従業員を雇うよりもはるかに良い投資だという。
彼らの研究は、Google と Mozilla が Chrome と Firefox ウェブブラウザ向けに実行している脆弱性報奨プログラム (VRP) を調査した。
過去3年間で、Googleは58万ドル、Mozillaは57万ドルの報奨金を支払いました。これらのプログラムの過程で、広く使用されている製品の数百件の脆弱性が修正されました。
これらのプログラムは非常に費用対効果が高い。北米の開発者の給与は企業にとって約10万ドルの費用となり、これに50%の経費が加算されるため、「これらのVRPのいずれの費用も、ブラウザセキュリティチームのメンバー1人分の費用に匹敵する」と研究者らは述べている。
さらに、コードに目を通す人が増えたことで、VRP は、雇われた 1 人の開発者が発見できるよりもはるかに多くのソフトウェアの欠陥を発見することができました。
この調査は、すべてのベンダーが導入しているわけではない報奨プログラムの確固たる根拠を示しています。Adobe SystemsとOracleは脆弱性情報に対して報酬を支払っていません。
マイクロソフトは従来、報奨金を支払っていませんが、先月、一回限りの報奨金プログラムを実施しました。7月26日まで、Internet Explorer 11ブラウザのバグ発見者に対し、最大11,000ドルの報奨金を支払う予定です。
バグバウンティには、犯罪に悪用される可能性のある悪意のある人物に販売される脆弱性の数を減らすなど、他にも利点がある。また、このプログラムはハッカーが脆弱性を発見することを困難にする、と研究者らは述べている。
しかし、Google と Mozilla のプログラム間の重要な違いが、その有効性に影響を及ぼす可能性があります。
Mozillaは脆弱性1件につき一律3,000ドルの報奨金を支払います。Googleは500ドルから10,000ドルまでのスライド制で報奨金を支払います。Googleは脆弱性とエクスプロイトを難易度や影響度などの要素に基づいて評価します。
Googleの平均支払額はわずか1,000ドルだが、はるかに高い報酬を得られる可能性が、より多くの人々が同社のプログラムに参加する動機となっているようだと研究者らは書いている。
Google のプログラムは、Mozilla のプログラムとほぼ同じコストがかかりますが、「3 倍以上のバグを特定し、より人気があり、繰り返しの参加者と初めての参加者の参加率も同様に高い」としています。
「これは宝くじのインセンティブを理解する上で理にかなっている。つまり、潜在的な賞金が大きければ大きいほど、参加者は期待収益率が低くても受け入れる意思が強くなり、VRPにとってはプログラム参加者が増えることが期待できるということだ」と論文は述べている。
また、Google が運営し、最高 15 万ドルの賞金が用意されている「Pwnium」などのブラウザ侵入コンテストも、研究者の間で関心を集めています。
「このような『ゲーミフィケーション』は Chrome VRP の知名度向上につながり、特に幅広い認知度に関心のある研究者の参加を促すのに役立つ可能性があると考えています」と論文では述べている。
「したがって、Mozilla に対して、報酬構造を Chrome のような階層型システムに変更することを推奨します」と同社は述べている。
この論文は、Matthew Finifter、Devdatta Akhawe、David Wagner が執筆しました。
