Skyが脆弱性報奨金制度 - CVSS基本値から金額算出、RCEで最大150万円を加算

IT資産管理製品を展開するSkyは、同社製品やウェブサービスのセキュリティ向上に向けて、バグ報奨金制度をスタートした。

同社製品やサービスに関する脆弱性やセキュリティ上の課題について募集し、報告に対して報奨金を支払う「Sky脆弱性報奨金制度（Sky Bug Bounty Program）」を開始したもの。川口設計が監修を務めている。

「SKYSEA Client View」「SKYDIV Desktop Client」をはじめとするパッケージ製品や、「SKYSEA Client View Cloud」などのクラウドサービス、コーポレートサイト、製品サイトなどを対象に、未知の脆弱性を報告した場合に報奨金を支払う。

同社では制度の開始とあわせて禁止事項を含む規約や、ルールブックを公開した。報奨金のベース金額は、共通脆弱性評価システム「CVSSv3」のベーススコアに応じて算出するしくみで、脆弱性の重要性を踏まえて金額を加算。これらに影響度をかけあわせて金額を算出する。

CVSSv3基本値が「10」の場合、ベース金額が50万円となり、リモートからコードが実行できる脆弱性については最大150万円が加算されるという。また「SQLインジェクション」など、脆弱性の種別による加算なども用意されている。

（Security NEXT - 2022/01/28 ）ツイート