Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

日本人ハッカーは他国に流出する?

1月20日のマイナビニュースで、バグバウンティ(脆弱性報奨金制度)についての記事がありました。

news.mynavi.jp

money flow

 

バグバウンティプログラムで支払われた報奨金のうち、米国で実施されたバグバウンティプログラムで支払われた金額が全体の67%を占めている。これにカナダとドイツが続いているが、それぞれ5%、2%と小さい割合にとどまっており、バグバウンティプログラムの7割ほどが米国で実施されていることがわかる。(マイナビニュース記事より引用)

 

バグバウンティ(脆弱性報奨金制度)として魅了がある対価は、成功したIT企業が多い米国が多いのは分かりますが、ハッカーを使った自サービスの脆弱性改善への取り組みについて本気でない国の方が多いのが現状の様です。

特に注目すべき所は・・・日本がランキングに入ってない事です。これは費用対価(報償金プログラム)を示す左側でもランキングに入ってませんし、ハッカーが報奨金を受け取った国を示す右側でも出てきません。つまり日本企業のバグバウンティに関する感度は鈍く、それにチャレンジする日本人ハッカーも非常に少ないという事が挙げられます。

 

f:id:foxcafelate:20180123063226p:plain

 

バグバウンティに協力するハッカーでは、やはりその報償が魅力的がどうかが問われる訳ですが、給与平均と比べて新興国ハッカーに対して魅力があると言えます。ほとんどが英語圏ですが、アルゼンチンが入っていますので英語の壁、という事は言い切れないかも知れません。

why hack

バグバウンティに協力する動機については、お金、チャレンジ精神、習得した技術を試す・・・等々様々です。

 

日本でのバグバウンティプログラムで、マイクロソフトサイボウズは聞いた事があります。他にどんなところが実施しているのかをざっと見てみたのですが、、、やはり少ないですね。下記が全てという訳ではないと思いますが、日本人の技術がある人(ハッカーあるいはハッカー的素質を持つ人)が育つ環境にはなっておらず、そうした素質のある方が居たとしても、高額な報奨金が狙える米国のプログラムに挑戦してしまうのが現状かと言えます。

 

米国でのバグバウンティプログラムの報奨金が高い&米国人のハッカーが多いのは、そうした優れた技術を持つ方を、囲い込む(高い給与で雇う)ケースが多いからと言われています。優秀な(ホワイト)ハッカーの素質を持つ方は各国でそう多くは無い訳ですから、日本人ハッカーも将来他国に取られてしまう事が懸念されます。

 

 

更新履歴

  • 2018年1月23日 AM(予約投稿)