Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Skyが脆弱性報奨金制度 - CVSS基本値から金額算出、RCEで最大150万円を加算

IT資産管理製品を展開するSkyは、同社製品やウェブサービスのセキュリティ向上に向けて、バグ報奨金制度をスタートした。

同社製品やサービスに関する脆弱性やセキュリティ上の課題について募集し、報告に対して報奨金を支払う「Sky脆弱性報奨金制度(Sky Bug Bounty Program)」を開始したもの。川口設計が監修を務めている。

「SKYSEA Client View」「SKYDIV Desktop Client」をはじめとするパッケージ製品や、「SKYSEA Client View Cloud」などのクラウドサービス、コーポレートサイト、製品サイトなどを対象に、未知の脆弱性を報告した場合に報奨金を支払う。

同社では制度の開始とあわせて禁止事項を含む規約や、ルールブックを公開した。報奨金のベース金額は、共通脆弱性評価システム「CVSSv3」のベーススコアに応じて算出するしくみで、脆弱性の重要性を踏まえて金額を加算。これらに影響度をかけあわせて金額を算出する。

CVSSv3基本値が「10」の場合、ベース金額が50万円となり、リモートからコードが実行できる脆弱性については最大150万円が加算されるという。また「SQLインジェクション」など、脆弱性の種別による加算なども用意されている。

(Security NEXT - 2022/01/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「LINEスタンプ」クリエイターの個人情報が流出 - 設定ミスで
脆弱性調査で個人情報が外部サービスに残存 - LINE
2015年の不正アクセスで流出した平文PW見つかる、報償金制度で - Slack
オークファン子会社のB2B卸サイトに不正アクセス - 会員情報最大13万件が流出した可能性