Opinion Brawte nfaq 0 Comments

へへ、まだコードを書いて生計を立ててるの?2018年だよ。バグバウンティハンターなら3倍稼げるかもしれないね

Table of Contents

へへ、まだコードを書いて生計を立ててるの?2018年だよ。バグバウンティハンターなら3倍稼げるかもしれないね

セキュリティ上の欠陥を見つけるための倫理的なハッキングは、一般的なソフトウェア エンジニアリングよりも、頻度は低いものの、収益性が高いようです。

金銭の支払いは依然としてコードを破る主な理由の一つだが、ハッカーたちは活動の理由として、より社会的な理由を挙げ始めている。

セキュリティ企業の HackerOne が 195 以上の国と地域の 1,700 人のバグ報奨金ハンターを対象に行った調査では、同社の 900 件のバグ報奨金プログラムに関するデータも加味した結果、ホワイトハットハッカーの平均年収が、それぞれの国の一般的なソフトウェアエンジニアの 2.7 倍であることが判明した。

地域によっては、その格差ははるかに顕著です。例えばインドでは、ハッカーの収入はプログラマーの中央値の16倍にも達します。一方、米国では2.4倍です。

HackerOneの給与データはPayScaleのデータに基づいています。インドでは、ソフトウェアエンジニアの年収中央値は6,418ドルです。米国では81,193ドルです。

「バグ報奨金プログラムが普及しつつあり、ハッカーにとってインターネットをより安全にすることで競争力のある報酬を獲得できる大きなチャンスが生まれている」と、HackerOneの広報ディレクター、ローレン・コザレク氏は本日The Registerに語った。

HackerOne で最も稼いでいるハッカーは、それぞれの国のソフトウェアエンジニアの平均給与を上回っています。これは、セキュリティ人材の必要性、これらのハッカーが報告する脆弱性の質、そしてバグを潰すことへの献身を示しています。

経済

報告書の中で、コンピューターセキュリティ侵害記録保管担当者のトロイ・ハント氏は、バグ探しには地理的障壁がないため、経済的に魅力的だと述べている。

「これらのサービスの多くが拠点を置いている国の平均所得のほんの一部しか占めていない市場に住む人にとって、ROIの『リターン』要素がどの程度のものか考えてみてください」と彼は述べた。「だからこそ、報奨金制度は非常に魅力的であり、まさにあなたが望む人材をセキュリティ対策に注視させることができるのです。」

HackerOneによると、2016年のハッキングの最大の理由は金銭だった。しかし、同社の最新データは、倫理観の目覚め、あるいは少なくとも調査で強欲な印象を与えたくないという願望を示唆している。

白い帽子をかぶった検査官

米司法次官補、大企業に対し、ブラックハットに追い出される前にホワイトハットに門戸を開くよう促す

続きを読む

ハッカーは平均して、お金を稼ぐこと(13.1%)よりも、スキルの向上(14.7%)、楽しさ(14%)、やりがいを感じること(14%)を動機として挙げています。

次いで、キャリアアップ(12.2%)、保護と防衛(10.4%)、善行(10%)、他者支援(8.5%)、自慢すること(3%)となっている。

しかし、利他主義を過度に重視するのは間違いでしょう。「なぜハッキングする企業を選ぶのですか?」という質問に対して、23%が報奨金を挙げました。次いで最も多かったのは、挑戦や学習の機会(20.5%)、そして企業への愛着(13%)でした。

調査によると、HackerOneを利用しているハッカーのうち、約12%がバグ報奨金で年間2万ドル以上を稼いでおり、約3%が10万ドル以上、1.1%が35万ドル以上を稼いでいます。つまり、バグハンターの大多数は他の収入源に依存しているということです。

そのお金の大部分は米国外の人々に渡っている。

回答者の約37%は趣味としてハッキングを行っていると答え、約4分の1は収入の少なくとも半分を報奨金に頼っていると答え、約13.7%は年間収入の90~100%をバグ発見の報酬から得ていると答えた。

ハッカーの 90 パーセント以上が 35 歳未満である理由の一部は、収入のばらつきにあるかもしれない。若い人たちは、そのような投機的な取り組みに時間とリスクを負う余裕がある傾向がある。一方、年配の人たちは、他人に対する義務を負っていることが多く、趣味に費やす時間が少なく、安定した給与を求める傾向がある。

ポジティブな教育

また注目すべきは、ハッカーの約半数が大学や大学院でコンピュータサイエンスを学び、4分の1強が高校以前にコンピュータサイエンスを学んだにもかかわらず、ハッカーの58%がハッキングスキルを独学で習得したと言っていることだ。

バグハンティング市場には大きな拡大の余地があるようだ。フォーブス・グローバル2000企業のうち、バグ報奨金プログラムを実施しているのはわずか6%だ。その結果、報告書によると、影響を受けた企業に問題を報告する手段がなかったため、ハッカーの4人に1人は脆弱性を報告しなかったという。

「これはまだ比較的新しい概念です」とコザレク氏は述べた。「バグ報奨金プログラムはこれまで、平均的な組織よりも多くのリソースを持つGoogle、Microsoft、Facebookなどの企業に限定されていました。」

コザレク氏によると、バグ報奨金制度や脆弱性開示プログラムを導入する企業の数は、過去1年間でほぼ倍増したという。一部の企業にとって、このコンセプトの導入には依然として法的問題が障壁となっている。コザレク氏は、バグ報奨金制度の範囲を明確にするために、企業の法務部門が当初から関与する必要があると助言している。

「これは、組織がプログラムに関する明確な法的ガイドラインを維持するのに役立つだけでなく、倫理的なハッカーを重点的に取り組んでほしい分野に導き、期待を管理するのにも役立ちます...」と彼女は言いました。®

Opinion

Smart Recommendations

Discover More