米国防総省、バグ発見者への報奨金支払いプログラムを拡大へ

　米国防総省（DoD）がバグ発見者に報奨金を支払う「Hack the Pentagon」プログラムを拡大する計画を発表した。可能な限り多くのセキュリティ脆弱性を根絶することが狙いだ。

　HackerOneが主催したHack the Pentagonは、パイロットプログラムとして米国時間2016年4月18日～5月12日に実施され、セキュリティ研究者に登録と米政府ウェブドメインのセキュリティ脆弱性発見を要請した。

　機密度の高いシステムは対象外だったが、このプログラムに価値があることは証明された。1400人以上のセキュリティ研究者が同プログラムに貢献したからだ。

　提出された計138件の脆弱性が「妥当かつユニークで、報奨金に値する」とみなされた、と米国防長官のAsh Carter氏は述べた。約100ドル～1万5000ドルの報奨金が支払われた。

　Carter氏によると、同プログラムは「かなりの成功」とみなされ、DODが「国防活動に貢献したいと考える革新的な市民とのつながりを強化する」ことを可能にしたという。

　同プログラムにDoDが支払った費用は15万ドルだが、同様のテスト実施と脆弱性発見のためにセキュリティ企業と契約した場合、費用は100万ドル以上になる可能性があった。

　よりコスト効率の良い代替手法として、米政府は、Hack the Pentagonの拡大を決定した。同バグ発見報奨金プログラムは本来、一般公開されているdefense.gov、dodlive.mil、dvidshub.net、myafn.net、dimoc.milという5つのウェブサイトを対象としていた。しかし、DoDは、「同省の他の部分」を将来的に含める計画を明らかにしている。

提供：Navy Petty Officer 1st Class Tim D. Godbee