CigitalのCTOでセキュアなコード記述プロセスの専門家でもあるGary McGraw氏は、次のように述べた。「一般の人が安い報酬でテストをしてくれることを期待するよりも、プロのQA(品質保証)専門家と侵入テストの専門家にお金を払う方が、おそらく良いだろう。わたしの知っている優秀なプロのテスターは、誰もそのような報奨金に魅力を感じないだろう。若者は、ビール(あるいは『Red Bull』とウォッカ)を買うお金のためにテストをするかもしれないが」
Miller氏がほぼ1年前に「No More Free Bugs」と呼ばれる運動を立ち上げたことを考えると、同氏の批判は特に辛辣かもしれない。ベンダーは、自社の商用ソフトウェアの脆弱性を外部の研究者が発見したとき、結果的にその製品のセキュリティを向上させることになるボランティアバグハンターの努力にただ乗りするのではなく、報酬を支払うべきだとMiller氏は主張した。
「いくつかの意味で、これはわたしの夢が実現したものだ。わたしはこうしたことをベンダーに求めてきた。そして、それが現実になった今、わたしは辛辣で批判的になっている」とMiller氏は話す。その理由は、VeriSignのiDefense Labsによる「Vulnerability Contributor Program」や3ComのTippingPoint Technologiesが運営する「Zero Day Initiative」の報奨金プログラムで研究者が得られるものと比較して、金額がはるかに低いためだという。
「わたしがChromeのバグを発見したとすると、それをZero Day Initiativeに売って、2000ドルを得ることができるだろう。それでもバグは最終的にGoogleに報告される。だとすれば、なぜGoogleに500ドルで売ろうとするだろうか。それでは意味がない」(Miller氏)
Zero Day Initiativeを運営するPedram Amini氏は、同プログラムがバグに支払う正確な金額は明かさなかったが、「平均でGoogleの提示額の10倍以上」であることは認めた。
「Googleは、バグに対する報奨金を始めた最初の巨大企業だ。同社がそれに着手したことをうれしく思う。正しい方向への一歩だ。しかし、金額に関して言えば、Googleはほかのバグ報奨金プログラムと張り合っていくことはできないだろう」(Amini氏)
確かに、Zero Day Initiativeが注力している一般向けにリリース済みの製品と比べると、ベータ版ソフトウェアの方がバグを見つけるのが簡単かもしれない、とAmini氏は話す。同氏はまた、Googleのブラウザは、ほかの主要ブラウザよりもはるかに新しく、ユーザー数も少ないので、Googleが研究者の関心を引くための措置を講じたことは賢明だと述べた。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス