t0707

1: ジャーマンスープレックス(大阪府)@\(^o^)/ 2014/12/20(土) 11:57:51.76 ID:JJHndEP+0.net BE:711292139-PLT(13121) ポイント特典
 ソフトウェアのバグや脆弱性は、軽微な不具合から、
セキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。
開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、
外部の立場から脆弱性を見つけてセキュリティ対策に貢献する
「バグハンター」という存在をご存じだろうか。

 GoogleやMicrosoft、サイボウズなど一部のベンダーは、
脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。
その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。
12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、
キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。

 キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)。
特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、
活動時間は“やる気のある時”とのこと。主に夕方から深夜にやる気が高まるそうだ。
生計のほとんどがベンダーから支払われる報奨金であり、
2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
2014年は収入がアップしそうだという。

 キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、
報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、
報告件数は世界で2番目に多い。報告内容ではXSSが73%を占め、
キヌガワさんの強みが目立っている。

 バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、
ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”
を評価してくれること、問題を正しく理解してくれることなどだという。
バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。

 こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、
キヌガワさんは評価する。同社は2013年に報奨金の額を大幅にアップするなど、
制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。

 しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。
報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。
日本のセキュリティ人材の不足が叫ばれているだけに、
セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。

全文ソース
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html

4: ツームストンパイルドライバー(SB-iPhone)@\(^o^)/ 2014/12/20(土) 12:01:23.40 ID:Gj7acOiP0.net
受けを狙った8進数がダダ滑りな件

5: フロントネックロック(広島県)@\(^o^)/ 2014/12/20(土) 12:02:29.38 ID:PUhlNDuj0.net
> 2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。

つまりいくらだよ(´・ω・`)

7: ファルコンアロー(神奈川県)@\(^o^)/ 2014/12/20(土) 12:08:45.75 ID:r+Vwhdrt0.net
>>5
¥607,7158

31: ミラノ作 どどんスズスロウン(埼玉県)@\(^o^)/ 2014/12/20(土) 12:49:52.29 ID:amozkxwq0.net
>>7
大した額にならんな

35: セントーン(愛知県)@\(^o^)/ 2014/12/20(土) 13:04:39.43 ID:k5Fe+H3P0.net
>>バグ見つけるのが趣味みたいなもんなんだろ
趣味で年収607万ならいいほうじゃね

87: ハーフネルソンスープレックス(芋)@\(^o^)/ 2014/12/21(日) 02:57:46.92 ID:FetBgIv+0.net
>>35

企業として調査契約したら億単位だろうな

34: パイルドライバー(やわらか銀行)@\(^o^)/ 2014/12/20(土) 13:00:14.98 ID:pIgCmTDu0.net
>>7
変なところに点打つな

42: アイアンクロー(チベット自治区)@\(^o^)/ 2014/12/20(土) 13:44:26.58 ID:Oys4TYyo0.net
>>34
定期的にカンマが3ケタになったり4ケタになるよ、小学校の学習指導
俺なんか4ケタで習ったから、社会に出てから慣れるまで大変だった
いま小学校の娘も4ケタに指導要綱が変わってるから将来苦労する

79: 垂直落下式DDT(catv?)@\(^o^)/ 2014/12/20(土) 22:35:03.22 ID:lT3TzCDr0.net
>>42
(;°言°)マジか!!!!!

43: バックドロップホールド(SB-iPhone)@\(^o^)/ 2014/12/20(土) 13:51:41.14 ID:Hob4rz2x0.net
>>42
調べたらマジだったので唖然
読みやすくするなら2|0000とかにしろよ
2,0000とか見るだけでむず痒い

64: 雪崩式ブレーンバスター(dion軍)@\(^o^)/ 2014/12/20(土) 16:07:10.99 ID:kwSGlkXZ0.net
>>42
4桁で習ったから3桁ごとにカンマの方が一般的だって知って混乱したなー
日本人なら4桁の方が合理的だと思うんだがな

65: バックドロップホールド(やわらか銀行)@\(^o^)/ 2014/12/20(土) 16:09:39.84 ID:HoRbzLDi0.net
>>64
今は4桁区切りで教えられるのか
じゃあ氏名のローマ字表記順は姓名?名姓?

66: バックドロップ(福岡県)@\(^o^)/ 2014/12/20(土) 16:11:21.07 ID:MgzgtWI/0.net
>>64
簿記とか経理やれば三桁が主流って気付くだろ

67: 雪崩式ブレーンバスター(dion軍)@\(^o^)/ 2014/12/20(土) 16:14:49.42 ID:kwSGlkXZ0.net
>>65
名姓で書かされたけど最近は苗字が先が主流だとかいう曖昧な感じだった
ていってもゆとり世代だからそこそこ前の話だが

>>66
いやそこまでいかんでも中学あたりで気づくけどさ

26: TEKKAMAKI(SB-iPhone)@\(^o^)/ 2014/12/20(土) 12:38:58.01 ID:9dWlNGxr0.net
>>5
ウィンドウズの電卓を8進数にして
27135346
って入れた後
10進数に切り替えればいい

44: ハイキック(神奈川県)@\(^o^)/ 2014/12/20(土) 13:55:34.81 ID:KpEIXpiP0.net
>>5
8進数で表記してもいいけど
5桁目に「万」をつける用法は見たことないな

54: バックドロップホールド(やわらか銀行)@\(^o^)/ 2014/12/20(土) 14:27:50.30 ID:HoRbzLDi0.net
>>44
万進八進法だよ

76: マシンガンチョップ(東京都)@\(^o^)/ 2014/12/20(土) 19:53:26.80 ID:eceEpSvD0.net
>>44
うちの業界はこれがマナー

さらに3456万0987円の場合
4桁目は0でも0を省略するとマナー違反

>>73
2個目のカンマの次が重要だから、百万円はすぐ分かる
3個目の10億もよく使うから、まぁ分かる

6: ニールキック(チベット自治区)@\(^o^)/ 2014/12/20(土) 12:04:17.94 ID:inqd93Lm0.net
一方ジャップ企業はバグ見つけてくれた有志を裁判にかけるぞと恫喝した(´・ω・`)。
そりゃジャップからグーグル先生が生まれるわけが無い(´・ω・`)。

8: アイアンフィンガーフロムヘル(東京都)@\(^o^)/ 2014/12/20(土) 12:12:55.23 ID:0k0SSKiB0.net
日本じゃバグ報告が不正アクセス扱いになるからな

11: テキサスクローバーホールド(兵庫県)@\(^o^)/ 2014/12/20(土) 12:17:18.22 ID:1xAQRbpv0.net
>>8
そもそも日本は不正や不具合を指摘したら
国賊みたいな扱いする文化があるからな

13: 逆落とし(庭)@\(^o^)/ 2014/12/20(土) 12:20:01.69 ID:TQkNO2D50.net
自前で探すより報奨金出した方が効率的だって、さすがアメリカだな。

15: エメラルドフロウジョン(大阪府)@\(^o^)/ 2014/12/20(土) 12:26:50.63 ID:DmL1ItAQ0.net
>>13
そら「これどうなってんだよ」と聞きに行ったら
「フォーラムで聞いたら、きっと親切な部外者が多分解決してくれるYO!」と言うのが
お約束な国だからな

16: スターダストプレス(SB-iPhone)@\(^o^)/ 2014/12/20(土) 12:27:40.96 ID:BckVMt+C0.net
>>13
名ばかりのセキュリティコンサル雇うより、よっぽど投資対効率良さそうだよな

18: キ○ンシンク(チベット自治区)@\(^o^)/ 2014/12/20(土) 12:29:46.41 ID:wR6vFS4B0.net
ハッカーを敵視するより
金やって飼い慣らす方が賢いもんな

27: かかと落とし(WiMAX)@\(^o^)/ 2014/12/20(土) 12:39:25.77 ID:cu3jcAGr0.net
>>18
そういうの日本人の発想じゃ無理だもんなぁ
ホントジャップ企業はオワコン

22: 栓抜き攻撃(九州地方)@\(^o^)/ 2014/12/20(土) 12:33:38.00 ID:pipovSLHO.net
昔みたいに外部からアクセス出来る所に顧客情報おきっぱで指摘されても対応しない(理解出来ない)って事は流石に無くなったんだよね?

25: フライングニールキック(やわらか銀行)@\(^o^)/ 2014/12/20(土) 12:36:47.34 ID:HelRgCCX0.net
>>22
うん
顧客情報に勝手にアクセスしたとして訴えられるようになったよ

23: リバースネックブリーカー(広島県)@\(^o^)/ 2014/12/20(土) 12:34:56.94 ID:laEpoTU/0.net
>活動の場は自宅で、活動時間は“やる気のある時”とのこと。
>主に夕方から深夜にやる気が高まるそうだ。

なんか別の話してない?

24: アンクルホールド(関西・東海)@\(^o^)/ 2014/12/20(土) 12:35:12.74 ID:gFS0bMbVO.net
俺も会社やめてハンターになるわ!

29: シャイニングウィザード(東京都)@\(^o^)/ 2014/12/20(土) 12:43:47.78 ID:OOcfeWHv0.net
検索で凍ったりマップがクソ重くなったり
最近のGoogleはクオリティー低すぎ

33: 魔神風車固め(dion軍)@\(^o^)/ 2014/12/20(土) 12:58:15.96 ID:wC30fpFy0.net
Googleで2番めにバグ取りが上手いのに年収600万ってなんだか安すぎない?

38: 超竜ボム(WiMAX)@\(^o^)/ 2014/12/20(土) 13:29:28.85 ID:Ro6CZxVZ0.net
せこい商売だな

39: 垂直落下式DDT(禿)@\(^o^)/ 2014/12/20(土) 13:31:16.06 ID:R+WDlz2q0.net
>>38
何がセコいのか分からん

40: キングコングラリアット(愛知県)@\(^o^)/ 2014/12/20(土) 13:32:19.55 ID:2MdKZkAk0.net
>>38
せこくないと思います

47: チェーン攻撃(関東地方)@\(^o^)/ 2014/12/20(土) 14:01:41.30 ID:VtIj0l4yO.net
うちの会社に欲しいわ

50: ラ ケブラーダ(埼玉県)@\(^o^)/ 2014/12/20(土) 14:09:25.55 ID:4EvuvzKy0.net
いつかバグが無くなったら、生計立てられなくなるな

51: アトミックドロップ(芋)@\(^o^)/ 2014/12/20(土) 14:13:30.44 ID:2ZjoO1/B0.net
バグハンターやってみたい!!
詳細教えて!

52: アトミックドロップ(芋)@\(^o^)/ 2014/12/20(土) 14:15:11.56 ID:2ZjoO1/B0.net
でもバグ修正するんじゃないからバグハンターはおかしいよね
バグシーカーじゃねえの

55: バックドロップホールド(やわらか銀行)@\(^o^)/ 2014/12/20(土) 14:28:41.75 ID:HoRbzLDi0.net
数値表記に関してだけは本田勝一を支持するわ

56: ダイビングフットスタンプ(福岡県)@\(^o^)/ 2014/12/20(土) 14:30:05.31 ID:MBZvNdn50.net
ニートはこれいい訳にして職探しすれば空白期間埋めれるんじゃないだろうか

63: ミラノ作 どどんスズスロウン(埼玉県)@\(^o^)/ 2014/12/20(土) 16:04:13.83 ID:amozkxwq0.net
>>56
他人のあら捜しみたいなもんだから理解がまずしてもらえないと思う

57: タイガードライバー(芋)@\(^o^)/ 2014/12/20(土) 14:31:04.02 ID:2/drTrxb0.net
一億円くらいもらえるユーチューバと
600万のバグ探しの人
Googleが評価してるのはユーチューバなのか

60: ドラゴンスープレックス(愛知県)@\(^o^)/ 2014/12/20(土) 15:57:29.74 ID:EnOK5ocg0.net
>最後に将来の夢についてキヌガワさんは、結婚をして、“主夫”をしながら脆弱性を続けたいと語った。
>ただ、バグハントの実力は世界でも指折りながら、“女子ハント”のスキルが足りていないことが切実な問題だという。

うぜえw

68: ショルダーアームブリーカー(大阪府)@\(^o^)/ 2014/12/20(土) 16:16:26.68 ID:cxgx/Jru0.net
でもウマーなのはGoogleで主従の従なんだよな

71: ボ ラギノール(チベット自治区)@\(^o^)/ 2014/12/20(土) 16:20:11.85 ID:NLiQD4vT0.net
バグ報告って金もらえるのか、知らなかった

72: チキンウィングフェースロック(関西地方)@\(^o^)/ 2014/12/20(土) 16:39:11.04 ID:qU5rmjyv0.net
職業:デバッガ()

74: バックドロップホールド(愛知県)@\(^o^)/ 2014/12/20(土) 17:25:43.55 ID:w7rYKXIM0.net
アップルもやってないのかね
iOSのバグ多すぎるんだが

75: ニーリフト(東日本)@\(^o^)/ 2014/12/20(土) 19:33:22.87 ID:cNrF1Z5y0.net
東大の院生が自動でセキュリティホールを見つけるプログラムを作ってたな
あれはすごい

77: トペ スイシーダ(大阪府)@\(^o^)/ 2014/12/20(土) 20:01:49.60 ID:ks/7i/en0.net
手取りなのか総額なのか

78: トペ スイシーダ(大阪府)@\(^o^)/ 2014/12/20(土) 20:04:36.91 ID:ks/7i/en0.net
googleからはドルでもらうんだろうから今年はだいぶ上がったはずだ

92: ローリングソバット(新潟県)@\(^o^)/ 2014/12/21(日) 06:41:29.89 ID:gQK1/AR50.net
Googleの儲けからすればはした金もいいところだな
足軽以下の存在だぞ

91: 不知火(北海道)@\(^o^)/ 2014/12/21(日) 06:37:31.91 ID:ozjTf+9f0.net
これだけで生活するとしたら長くは続けられないだろうな
収入の見込みがわからない生活って辛いし




【引用元】
http://hayabusa3.2ch.sc/test/read.cgi/news/1419044271/