Sky株式会社が、自社がリリースしているアプリケーションやWebサービスのセキュリティ強化施策として、脆弱性報奨金制度を開始したので、紹介いたします。
はじめに
Sky株式会社は、CMでもよく見かける、資産管理ソフト等で有名なソフトウェア開発会社です。
同社で開発している製品・サービスに対して脆弱性を発見した方に、最大200万円を支払う制度を2022/1/27から開始しました。
申込を行うことで、一般のユーザーも参加することができます。
脆弱性報奨金制度概要
Sky脆弱性報奨金制度の目的は、既存のゼロデイ脆弱性を早期に発見し、回収することです。報奨金制度は海外を筆頭に大手IT企業で導入されて効果に実績があり、Sky製品にも適用することで検知難易度の高い潜在的セキュリティリスクを取り除く狙いがあります。
希望者には検証用環境貸し出しも期間限定で実施されます。
なお、入力フォームの脆弱性検証やサービスに著しい高負荷を与える検証は禁止されています。
本制度の対象となる製品は、以下の通りです。7パッケージ製品・2クラウドサービス・14Webサイトがエントリーされています(記事記載時点)。
| SKYSEA Client View | SKYDIV Desktop Client |
| SKYPCE | SKYMEC IT Manager |
| SKYMENU Pro | SKYMENU Class |
| SKYATT |
| SKYSEA Client View Cloud | SKYMENU Cloud |
| サイト名 | ドメイン名 |
| Sky株式会社コーポレートサイト | www.skygroup.jp |
| SKYSEA Client View | skyseaclientview.net |
| SKYSEA Client View 保守契約ユーザー用Webサイト | sp.skyseaclientview.net |
| SKYDIV Desktop Client | www.skydiv.jp |
| SKYDIV Desktop Client 保守契約ユーザー用Webサイト | sp.skydiv.jp |
| SKYPCE | www.skypce.net |
| SKYMEC IT Manager | www.skymec.net |
| SKYMEC IT Manager 保守契約ユーザー用Webサイト | sp.skymec.net |
| SKYATT | www.skyatt.net |
| SKYMENU | www.skymenu.net |
| SKYMENU Class | skymenu-class.net |
| 学校とICT | www.sky-school-ict.net |
| 新卒採用 | www.sky-recruit.jp |
| キャリア採用 | www.sky-career.jp |
報奨金目安
報奨金は同制度ルールブックに従い、CVSS値をベースとして設定、かつ検出内容の重要性を加味して算出します。
参加方法
本制度に参加するには、エントリーページの「脆弱性連絡フォーム(報奨金制度に参加)」から申し込みます。
参加条件の一部を抜粋して、紹介します。詳細は実施概要を確認してください。
- SkyまたはSkyグループの従業員ではない
- Skyグループ全体で業務に従事したことが無い
まとめ
IPA情報セキュリティ10大脅威2022覧にもランクインした、ゼロデイ攻撃は後を絶ちません。早期発見に社外の有識者に参加してもらうことは、かけたコスト以上のリターンがあることでしょう。本制度が有効的に機能し、安心・安全な社会が保たれることを期待します。
以上、Sky株式会社の脆弱性報奨金制度の紹介でした。
コメント