1: :2014/12/20(土) 11:57:51.76 ID:
ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。
開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。
GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。
12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。
キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)。特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、活動時間は“やる気のある時”とのこと。
主に夕方から深夜にやる気が高まるそうだ。生計のほとんどがベンダーから支払われる報奨金であり、2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
2014年は収入がアップしそうだという。
キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、報告件数は世界で2番目に多い。
報告内容ではXSSが73%を占め、キヌガワさんの強みが目立っている。
バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、
問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。
こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、キヌガワさんは評価する。
同社は2013年に報奨金の額を大幅にアップするなど制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。
しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。
日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。
全文ソース
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html
開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。
GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。
12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。
キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)。特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、活動時間は“やる気のある時”とのこと。
主に夕方から深夜にやる気が高まるそうだ。生計のほとんどがベンダーから支払われる報奨金であり、2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
2014年は収入がアップしそうだという。
キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、報告件数は世界で2番目に多い。
報告内容ではXSSが73%を占め、キヌガワさんの強みが目立っている。
バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、
問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。
こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、キヌガワさんは評価する。
同社は2013年に報奨金の額を大幅にアップするなど制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。
しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。
日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。
全文ソース
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html
4: :2014/12/20(土) 12:01:23.40 ID:
受けを狙った8進数がダダ滑りな件
5: :2014/12/20(土) 12:02:29.38 ID:
> 2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
つまりいくらだよ(´・ω・`)
つまりいくらだよ(´・ω・`)
7: :2014/12/20(土) 12:08:45.75 ID:
>>5
¥607,7158
¥607,7158
31: :2014/12/20(土) 12:49:52.29 ID:
>>7
大した額にならんな
大した額にならんな
35: :2014/12/20(土) 13:04:39.43 ID:
>>31
バグ見つけるのが趣味みたいなもんなんだろ
趣味で年収607万ならいいほうじゃね
バグ見つけるのが趣味みたいなもんなんだろ
趣味で年収607万ならいいほうじゃね
87: :2014/12/21(日) 02:57:46.92 ID:
>>35
企業として調査契約したら億単位だろうな
企業として調査契約したら億単位だろうな
34: :2014/12/20(土) 13:00:14.98 ID:
>>7
変なところに点打つな
変なところに点打つな
42: :2014/12/20(土) 13:44:26.58 ID:
>>34
定期的にカンマが3ケタになったり4ケタになるよ、小学校の学習指導
俺なんか4ケタで習ったから、社会に出てから慣れるまで大変だった
いま小学校の娘も4ケタに指導要綱が変わってるから将来苦労する
定期的にカンマが3ケタになったり4ケタになるよ、小学校の学習指導
俺なんか4ケタで習ったから、社会に出てから慣れるまで大変だった
いま小学校の娘も4ケタに指導要綱が変わってるから将来苦労する
43: :2014/12/20(土) 13:51:41.14 ID:
>>42
調べたらマジだったので唖然
読みやすくするなら2|0000とかにしろよ
2,0000とか見るだけでむず痒い
調べたらマジだったので唖然
読みやすくするなら2|0000とかにしろよ
2,0000とか見るだけでむず痒い
64: :2014/12/20(土) 16:07:10.99 ID:
>>42
4桁で習ったから3桁ごとにカンマの方が一般的だって知って混乱したなー
日本人なら4桁の方が合理的だと思うんだがな
4桁で習ったから3桁ごとにカンマの方が一般的だって知って混乱したなー
日本人なら4桁の方が合理的だと思うんだがな
8: :2014/12/20(土) 12:12:55.23 ID:
日本じゃバグ報告が不正アクセス扱いになるからな
11: :2014/12/20(土) 12:17:18.22 ID:
>>8
そもそも日本は不正や不具合を指摘したら
国賊みたいな扱いする文化があるからな
そもそも日本は不正や不具合を指摘したら
国賊みたいな扱いする文化があるからな
9: :2014/12/20(土) 12:14:02.45 ID:
ブサカワ犬のパグのことかとおもた
13: :2014/12/20(土) 12:20:01.69 ID:
自前で探すより報奨金出した方が効率的だって、さすがアメリカだな。
15: :2014/12/20(土) 12:26:50.63 ID:
>>13
そら「これどうなってんだよ」と聞きに行ったら
「フォーラムで聞いたら、きっと親切な部外者が多分解決してくれるYO!」と言うのが
お約束な国だからな
そら「これどうなってんだよ」と聞きに行ったら
「フォーラムで聞いたら、きっと親切な部外者が多分解決してくれるYO!」と言うのが
お約束な国だからな
16: :2014/12/20(土) 12:27:40.96 ID:
>>13
名ばかりのセキュリティコンサル雇うより、よっぽど投資対効率良さそうだよな
名ばかりのセキュリティコンサル雇うより、よっぽど投資対効率良さそうだよな
18: :2014/12/20(土) 12:29:46.41 ID:
ハッカーを敵視するより
金やって飼い慣らす方が賢いもんな
金やって飼い慣らす方が賢いもんな
22: :2014/12/20(土) 12:33:38.00 ID:
昔みたいに外部からアクセス出来る所に顧客情報おきっぱで指摘されても対応しない(理解出来ない)って事は流石に無くなったんだよね?
25: :2014/12/20(土) 12:36:47.34 ID:
>>22
うん
顧客情報に勝手にアクセスしたとして訴えられるようになったよ
うん
顧客情報に勝手にアクセスしたとして訴えられるようになったよ
24: :2014/12/20(土) 12:35:12.74 ID:
俺も会社やめてハンターになるわ!
28: :2014/12/20(土) 12:43:40.75 ID:
8進数ってのはウェブバグになんかかんけいあるますですか?
33: :2014/12/20(土) 12:58:15.96 ID:
Googleで2番めにバグ取りが上手いのに年収600万ってなんだか安すぎない?
36: :2014/12/20(土) 13:06:29.86 ID:
>趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)
どういうことなんですかね・・・
どういうことなんですかね・・・
38: :2014/12/20(土) 13:29:28.85 ID:
せこい商売だな
39: :2014/12/20(土) 13:31:16.06 ID:
>>38
何がセコいのか分からん
何がセコいのか分からん
40: :2014/12/20(土) 13:32:19.55 ID:
>>38
せこくないと思います
せこくないと思います
41: :2014/12/20(土) 13:43:29.28 ID:
マイクロソフトは毎月信者が無料でチェックしてるというのに
47: :2014/12/20(土) 14:01:41.30 ID:
うちの会社に欲しいわ
49: :2014/12/20(土) 14:09:12.09 ID:
こいつもやっぱシングルハンターくらいになるのか
50: :2014/12/20(土) 14:09:25.55 ID:
いつかバグが無くなったら、生計立てられなくなるな
51: :2014/12/20(土) 14:13:30.44 ID:
バグハンターやってみたい!!
詳細教えて!
詳細教えて!
52: :2014/12/20(土) 14:15:11.56 ID:
でもバグ修正するんじゃないからバグハンターはおかしいよね
バグシーカーじゃねえの
バグシーカーじゃねえの
56: :2014/12/20(土) 14:30:05.31 ID:
ニートはこれいい訳にして職探しすれば空白期間埋めれるんじゃないだろうか
63: :2014/12/20(土) 16:04:13.83 ID:
>>56
他人のあら捜しみたいなもんだから理解がまずしてもらえないと思う
他人のあら捜しみたいなもんだから理解がまずしてもらえないと思う
57: :2014/12/20(土) 14:31:04.02 ID:
一億円くらいもらえるユーチューバと
600万のバグ探しの人
Googleが評価してるのはユーチューバなのか
600万のバグ探しの人
Googleが評価してるのはユーチューバなのか
59: :2014/12/20(土) 14:43:24.14 ID:
たいして貰えねぇのな
60: :2014/12/20(土) 15:57:29.74 ID:
>最後に将来の夢についてキヌガワさんは、結婚をして、“主夫”をしながら脆弱性を続けたいと語った。
>ただ、バグハントの実力は世界でも指折りながら、“女子ハント”のスキルが足りていないことが切実な問題だという。
うぜえw
>ただ、バグハントの実力は世界でも指折りながら、“女子ハント”のスキルが足りていないことが切実な問題だという。
うぜえw
62: :2014/12/20(土) 16:03:12.39 ID:
バグが無くなったら困るわけだな
68: :2014/12/20(土) 16:16:26.68 ID:
でもウマーなのはGoogleで主従の従なんだよな
71: :2014/12/20(土) 16:20:11.85 ID:
バグ報告って金もらえるのか、知らなかった
72: :2014/12/20(土) 16:39:11.04 ID:
職業:デバッガ()
74: :2014/12/20(土) 17:25:43.55 ID:
アップルもやってないのかね
iOSのバグ多すぎるんだが
iOSのバグ多すぎるんだが
75: :2014/12/20(土) 19:33:22.87 ID:
東大の院生が自動でセキュリティホールを見つけるプログラムを作ってたな
あれはすごい
あれはすごい
77: :2014/12/20(土) 20:01:49.60 ID:
手取りなのか総額なのか
78: :2014/12/20(土) 20:04:36.91 ID:
googleからはドルでもらうんだろうから今年はだいぶ上がったはずだ
82: :2014/12/21(日) 00:28:15.66 ID:
ハンター試験は不要なんだな
1001: :2099/09/09 09:09:09.99 ID:
コメント