バグバウンティハンターとして生計を立てようとしているセキュリティ研究者は、実際の昆虫を追跡する方がよいでしょう。
バグ報奨金ビジネスの HackerOne のデータを使用したセキュリティ ショップ Trail of Bits は、バグハンターの上位 1% が平均して毎月 0.87 個のバグを発見し、その結果得られた報奨金が平均年収 34,255 ドル (26,500 ポンド) に相当することを発見しました。
これは、米国労働統計局によると、例えばミシシッピ州の害虫駆除作業員の中央値賃金よりわずかに低い。また、英国の平均賃金2万7000ポンドよりも低い。
そして、彼らはトップクラスのサイバー駆除業者です。彼らは高額な報酬を稼ぎます。新人の収入はそれよりはるかに少ないです。
MIT Pressの『New Solutions for Cybersecurity』を引用し、Trail of Bitsは、バグバウンティプログラムは主に、米国よりも賃金が大幅に低い労働市場の開発者や、サイバーセキュリティを学ぶ学生に魅力的であると主張しています。驚くべきことに、この業界は、セキュリティコンサルタントやペネトレーションテスター(驚くべきことに、Trail of Bits自身の事業です)を雇用するといった他の選択肢が、企業にとってバグバウンティプログラムよりも理にかなっている可能性を示唆しています。
「30万人もの目がコードを精査していると考えるのは良いことですが、この数字にはゾンビアカウントやバグを一つも見つけられない人も含まれています」と、同社は月曜日のブログ投稿で述べた。「実際には、仕事を成し遂げて利益を上げているのは、ごく少数のエリートだけです。」
HackerOneのCEO、マーテン・ミコス氏は、Trail of Bitsの数字に異議を唱えた。「この調査は代表的ではない」と、同氏はThe Registerへのメールで述べた。
HackerOneのデータに基づいているとしても、それはほんの一部に過ぎません。ハッカーコミュニティはまさにべき乗分布です。トップクラスのパフォーマーは、新参者よりも桁違いに生産性が高いのです。素晴らしいのは、多くの新参者が急速に昇進していくことです。この実力主義のシステムでは、スキルと意志を持つ者には無限のチャンスが存在します。
バグバウンティボトックス
しかし、 The Registerとの電話インタビューで、Luta Securityの創設者兼CEOであり、Microsoftの最初のバグ報奨金プログラムの考案者であり、MITの本の寄稿者でもあるKatie Moussouris氏は、Trail of Bitsの結論に同意し、社内のセキュリティ人材の方がより良い投資になる傾向があると指摘した。
「防衛関連の懸賞金には当然上限があります」と彼女は述べ、攻撃関連の懸賞金市場は事情が全く異なることを指摘した。「懸賞金の額は、社内の警備員の収入を超えることはまずありません」
ムスーリス氏は、バグ報奨金プログラムは必ずしもすべての組織にとって有益であったり適切であるとは限らないと述べた。
「多くの組織が『バグ報奨金』という言葉を耳にしており、彼らは最善の結果を強調する派手なマーケティング資料を目にしているが、最悪で最も悲惨な結果については触れていない」と彼女は語った。
企業はバグ報奨金プログラムは侵入テスターを雇うのと同じくらい安全だと考えることが多いが、それは絶対に違うとムスーリス氏は言う。
Steamのセキュリティホールを発見し、あらゆるゲームのライセンスキーを入手したのですが、手に入れたのはたったこれだけ… うーん、嬉しいことに2万ドル
続きを読む
「セキュリティを実際に向上させるよりも、自分たちがセキュリティに優れているように見せることに人々が関心を持つのを、私は『バグ報奨金ボトックス』と呼んでいます」と彼女は語った。
彼女の説明によると、リスクには、一流のバグハンターを惹きつけないこと、些細なバグの報告が多すぎること、スポンサー組織が実際に修正できる量よりも多くのバグ報告を受けることなどが含まれる。
「社内に能力がなければ、バグ報奨金制度も侵入テストも何の役にも立ちません」と彼女は語った。
彼女によると、英国政府はバグ報奨金制度を開始する予定はないという。その代わりに、英国政府は彼女の会社と協力して社内プロセスを改善し、様々な政府機関が継続的にバグ報告を修正できるレベルにまで引き上げようとしているという。
つまり、バグ報奨金プログラムは役に立つかもしれませんが、製品のセキュリティの 100% をインターネット上の見知らぬ人にアウトソーシングしないでください。®
