1: ジャーマンスープレックス(大阪府)@\(^o^)/ 2014/12/20(土) 11:57:51.76 ID:JJHndEP+0.net BE:711292139-PLT(13121) ポイント特典
 ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。
開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。

 GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。
12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。

 キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)。特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、活動時間は“やる気のある時”とのこと。
主に夕方から深夜にやる気が高まるそうだ。生計のほとんどがベンダーから支払われる報奨金であり、2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
2014年は収入がアップしそうだという。

 キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、報告件数は世界で2番目に多い。
報告内容ではXSSが73%を占め、キヌガワさんの強みが目立っている。

 バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、
問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。

 こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、キヌガワさんは評価する。
同社は2013年に報奨金の額を大幅にアップするなど制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。

 しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。
日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。

codeblue01

全文ソース
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html



18: キチンシンク(チベット自治区)@\(^o^)/ 2014/12/20(土) 12:29:46.41 ID:wR6vFS4B0.net
ハッカーを敵視するより
金やって飼い慣らす方が賢いもんな

8: アイアンフィンガーフロムヘル(東京都)@\(^o^)/ 2014/12/20(土) 12:12:55.23 ID:0k0SSKiB0.net
日本じゃバグ報告が不正アクセス扱いになるからな

20: チキンウィングフェースロック(関西地方)@\(^o^)/ 2014/12/20(土) 12:31:15.29 ID:qU5rmjyv0.net
> 2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
?(´・ω・`)


65

 【事前予約ios版】アニメ「異能バトルは日常系のなかで」の公式カードゲーム
 【事前予約Android版】重度の厨二病を患っている主人公達の高校生ライフと萌えるシミュレーション
 


4: ツームストンパイルドライバー(SB-iPhone)@\(^o^)/ 2014/12/20(土) 12:01:23.40 ID:Gj7acOiP0.net
受けを狙った8進数がダダ滑りな件

5: フロントネックロック(広島県)@\(^o^)/ 2014/12/20(土) 12:02:29.38 ID:PUhlNDuj0.net
> 2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。

つまりいくらだよ(´・ω・`)

7: ファルコンアロー(神奈川県)@\(^o^)/ 2014/12/20(土) 12:08:45.75 ID:r+Vwhdrt0.net
>>5
¥607,7158

31: ミラノ作 どどんスズスロウン(埼玉県)@\(^o^)/ 2014/12/20(土) 12:49:52.29 ID:amozkxwq0.net
>>7
大した額にならんな

35: セントーン(愛知県)@\(^o^)/ 2014/12/20(土) 13:04:39.43 ID:k5Fe+H3P0.net
>>31
バグ見つけるのが趣味みたいなもんなんだろ
趣味で年収607万ならいいほうじゃね

34: パイルドライバー(やわらか銀行)@\(^o^)/ 2014/12/20(土) 13:00:14.98 ID:pIgCmTDu0.net
>>7
変なところに点打つな

42: アイアンクロー(チベット自治区)@\(^o^)/ 2014/12/20(土) 13:44:26.58 ID:Oys4TYyo0.net
>>34
定期的にカンマが3ケタになったり4ケタになるよ、小学校の学習指導
俺なんか4ケタで習ったから、社会に出てから慣れるまで大変だった
いま小学校の娘も4ケタに指導要綱が変わってるから将来苦労する

43: バックドロップホールド(SB-iPhone)@\(^o^)/ 2014/12/20(土) 13:51:41.14 ID:Hob4rz2x0.net
>>42
調べたらマジだったので唖然
読みやすくするなら2|0000とかにしろよ
2,0000とか見るだけでむず痒い

13: 逆落とし(庭)@\(^o^)/ 2014/12/20(土) 12:20:01.69 ID:TQkNO2D50.net
自前で探すより報奨金出した方が効率的だって、さすがアメリカだな。

15: エメラルドフロウジョン(大阪府)@\(^o^)/ 2014/12/20(土) 12:26:50.63 ID:DmL1ItAQ0.net
>>13
そら「これどうなってんだよ」と聞きに行ったら
「フォーラムで聞いたら、きっと親切な部外者が多分解決してくれるYO!」と言うのが
お約束な国だからな

16: スターダストプレス(SB-iPhone)@\(^o^)/ 2014/12/20(土) 12:27:40.96 ID:BckVMt+C0.net
>>13
名ばかりのセキュリティコンサル雇うより、よっぽど投資対効率良さそうだよな

23: リバースネックブリーカー(広島県)@\(^o^)/ 2014/12/20(土) 12:34:56.94 ID:laEpoTU/0.net
>活動の場は自宅で、活動時間は“やる気のある時”とのこと。
>主に夕方から深夜にやる気が高まるそうだ。

なんか別の話してない?

28: ストマッククロー(大阪府)@\(^o^)/ 2014/12/20(土) 12:43:40.75 ID:wso0FJ4I0.net
8進数ってのはウェブバグになんかかんけいあるますですか?

29: シャイニングウィザード(東京都)@\(^o^)/ 2014/12/20(土) 12:43:47.78 ID:OOcfeWHv0.net
検索で凍ったりマップがクソ重くなったり
最近のGoogleはクオリティー低すぎ

33: 魔神風車固め(dion軍)@\(^o^)/ 2014/12/20(土) 12:58:15.96 ID:wC30fpFy0.net
Googleで2番めにバグ取りが上手いのに年収600万ってなんだか安すぎない?

36: ネックハンギングツリー(埼玉県)@\(^o^)/ 2014/12/20(土) 13:06:29.86 ID:D3tcdnB50.net
>趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)

どういうことなんですかね・・・

41: ナガタロックII(大阪府)@\(^o^)/ 2014/12/20(土) 13:43:29.28 ID:njelhQR10.net
マイクロソフトは毎月信者が無料でチェックしてるというのに

45: 足4の字固め(茨城県)@\(^o^)/ 2014/12/20(土) 14:00:21.73 ID:5/poeb3b0.net
日本人はマゾだからね
ゲーオタなんて高いゲームソフトと別売りDLCに金払って
バグ探ししてるくらいだし

49: チェーン攻撃(埼玉県)@\(^o^)/ 2014/12/20(土) 14:09:12.09 ID:EOGgtQms0.net
こいつもやっぱシングルハンターくらいになるのか

52: アトミックドロップ(芋)@\(^o^)/ 2014/12/20(土) 14:15:11.56 ID:2ZjoO1/B0.net
でもバグ修正するんじゃないからバグハンターはおかしいよね
バグシーカーじゃねえの

56: ダイビングフットスタンプ(福岡県)@\(^o^)/ 2014/12/20(土) 14:30:05.31 ID:MBZvNdn50.net
ニートはこれいい訳にして職探しすれば空白期間埋めれるんじゃないだろうか

63: ミラノ作 どどんスズスロウン(埼玉県)@\(^o^)/ 2014/12/20(土) 16:04:13.83 ID:amozkxwq0.net
>>56
他人のあら捜しみたいなもんだから理解がまずしてもらえないと思う

57: タイガードライバー(芋)@\(^o^)/ 2014/12/20(土) 14:31:04.02 ID:2/drTrxb0.net
一億円くらいもらえるユーチューバと
600万のバグ探しの人
Googleが評価してるのはユーチューバなのか

62: エメラルドフロウジョン(三重県)@\(^o^)/ 2014/12/20(土) 16:03:12.39 ID:p1jltwAJ0.net
バグが無くなったら困るわけだな

68: ショルダーアームブリーカー(大阪府)@\(^o^)/ 2014/12/20(土) 16:16:26.68 ID:cxgx/Jru0.net
でもウマーなのはGoogleで主従の従なんだよな

69: メンマ(埼玉県)@\(^o^)/ 2014/12/20(土) 16:17:39.90 ID:DF1sskF+0.net
ハゲハンターかと思った

71: ボ ラギノール(チベット自治区)@\(^o^)/ 2014/12/20(土) 16:20:11.85 ID:NLiQD4vT0.net
バグ報告って金もらえるのか、知らなかった

74: バックドロップホールド(愛知県)@\(^o^)/ 2014/12/20(土) 17:25:43.55 ID:w7rYKXIM0.net
アップルもやってないのかね
iOSのバグ多すぎるんだが

60: ドラゴンスープレックス(愛知県)@\(^o^)/ 2014/12/20(土) 15:57:29.74 ID:EnOK5ocg0.net
>最後に将来の夢についてキヌガワさんは、結婚をして、“主夫”をしながら脆弱性を続けたいと語った。
>ただ、バグハントの実力は世界でも指折りながら、“女子ハント”のスキルが足りていないことが切実な問題だという。

うぜえw

47: チェーン攻撃(関東地方)@\(^o^)/ 2014/12/20(土) 14:01:41.30 ID:VtIj0l4yO.net
うちの会社に欲しいわ

24: アンクルホールド(関西・東海)@\(^o^)/ 2014/12/20(土) 12:35:12.74 ID:gFS0bMbVO.net
俺も会社やめてハンターになるわ!

65

 【Android】パズルとモンハンを合体させたようなボリューム満点のゲームが登場!






おすすめ 


引用元: http://hayabusa3.2ch.sc/test/read.cgi/news/1419044271/