1,263 views

クラウドソーシングでセキュリティ上の問題点を116件見つけた事例

今回の事例はこちらから。

サイボウズ、バグハンターたちに向け「感謝祭」を開催
サイボウズは2016年1月28日、同社が実施した脆弱性報奨金制度で実績を持つ“バグハンター”たちに向けた「サイボウズ脆弱性報奨金制度2015報告会 バグハンター感謝祭」を実施した。

 

サイボウズが、クラウドソーシングを使って自社サービスのセキュリティ上の問題点(脆弱性)を、年間116件見つけた事例です。それでは詳しく見ていきましょう。

クラウドソーシングとは?

クラウドソーソングとは、インターネットを通して個人に仕事を発注するしくみのことです。通常、クラウドワークスやランサーズなどのクラウドソーシング事業者のサービスを介して働き手を見つけます。

しかし今回の事例では、クラウドソーシング事業者を介さずサイボウズのサイトから直接働き手を募集し、大きな成果を上げることができました。さて、一体どのように募集したのでしょうか。

どのように募集したのか

まず、サイボウズ脆弱性報奨金制度を自社ホームページ上で公開しました。そこには、“検出し切れない「未知の脆弱性」を社外の“善意の”ハッカーたちの手を借りて発見し、製品・サービスの品質を一層向上させようとする”ことが本制度の趣旨と説明されています。

その名の通り、自社製品・サービスの脆弱性(セキュリティの問題点)を見つけてくれた方には報奨金が渡されます。報奨金は1件当たり1,000円から30万円と設定されています。(2016年から、報奨金の上限が100万円に変更されました)

どのような成果が出たのか

実際に2015年2月2日〜12月25日にかけて実施された同制度で、このような成果が出ています。

<各種件数>
・脆弱性報告者数 :26名
・脆弱性の報告件数:238件
・脆弱性の認定件数:116件(うち深刻度の高い脆弱性:1件)
※認定された脆弱性の内訳はこちら
※評価中の脆弱性が残っているため、今後50件ほど増える見込みとのこと

<報奨金関連>
・報奨金の総支払額:約600万円
・報奨金の最高金額:21万3,000円
・報奨金の平均金額:3万4,801円
・一番稼いだ人の額:92万1,000円
・トータルの運営費:約900万円

自社内で見つけられなかったセキュリティ上の問題点を、900万円の追加コストでおおよそ116件(今後の見込みを含めると160件程度)見つけることに成功しています。

まとめ

今回は、クラウドソーシングでセキュリティ上の問題点を116件見つけた事例を取り上げました。優秀なテスターに成果報酬でテストをしてもらい、自分たちでは見つけられない脆弱性を発見する、まさにクラウドソーシングをうまく活用した事例といえるでしょう。2014年6月に始まったサイボウズのこの取り組みは、毎年改良を重ね3年目を迎えています。今後、社外の優秀な人材を活用できる企業がますます強くなっていくのではないでしょうか。

ライター