マイクロソフト、バグ発見報奨金プログラム導入へ

　Microsoftは米国時間6月19日、「バグ発見報奨金」制度を立ち上げると発表した。同制度は、Microsoft製品に存在するセキュリティ関連の脆弱性を、リリースの前後にかかわらず一掃することを目的にしている。

　Microsoftは過去にも「BlueHat」賞の一環として、コンテストの期間中に発見されたセキュリティ関連の脆弱性に対して総額25万ドルの報奨金を出したことがあるものの、同社製品に潜んでいる脆弱性の発見をリサーチャーに奨励するような、バグ発見報奨金制度を長期にわたって継続的に実施したことはなかった。

　Microsoft Security Response Center（MSRC）のシニアセキュリティストラテジストを主導するKatie Moussouris氏は米ZDNetに対して、「これはわれわれが打てる最もスマートな手段だ」と述べるとともに、「リサーチャーの行動を調査した結果、報告の傾向が変わってきていることに気付いた。数年前にはほとんどのリサーチャーがMicrosoftに直接報告していた。われわれは、そういった状態に戻したいと考えている」と語っている。

　しかし、この件において着目すべきは、こういったバグ発見報奨金制度の対象として、「Internet Explorer（IE）11」のプレビュー版（6月26日公開予定の「Windows 8.1」のパブリックプレビュー版に含まれる）といったMicrosoftのプレリリースソフトウェアも含まれることになるため、同社製品をより多くのユーザーに向けてリリースする前にバグを一掃しようとするMicrosoftの取り組みに貢献できるという点だ。

　こういった取り組みは、一見無茶と思えるが筋は通っている。Microsoftによると、IE 10に関するセキュリティバグのほとんどは、ブラウザが一般公開されてから見つかったものとなっている。というのも、リサーチャーは製品が公開された後にのみ、サードパーティーのブローカーからバグ発見に対する金銭的な報酬を得られたためである。

IE 11のバグ報奨金
提供：Microsoft