※この記事は『Mac Fan 2019年11月号』に掲載されたものです。
Appleが、セキュリティ上のバグ発見レポートに報奨金を出す「バグバウンティ制度」に本格的に参加する。最高で150万ドル(約1600万円)の報奨金が用意されるという。
Apple製品のバグ探しを職業にして、生活していけるだろうか。これが今回の疑問だ。
バグを見つけるとお金がもらえる! Appleがスタートしたバウンディ制度
Appleは、すべてのプロダクトでバグバウンティ制度を始める。iOSについては2016年からスタートしていたが、2019年の秋からmacOS、watchOS、tvOS、iPadOS、iCloudなど、Appleの全プロダクトをカバーするようになる。
バウンティとは「報奨金」の意味。セキュリティ上の重大なバグ、脆弱性を発見し、それをAppleにレポートしてくれた人に対し、最高150万ドルまでの報奨金を与える。
Appleがこの制度を始めるのは遅すぎたくらいだ。セキュリティ上の脆弱性を、開発チームやテストスタッフという限られた人たちで発見するのはすでに限界にきている。そのため、広く世間に協力を求めるのがバグバウンティ制度であり、グーグルやフェイスブック、マイクロソフトなどのグローバルIT企業はすでに導入しているし、日本でもLINE、任天堂、エイベックスなどが導入している。
Appleがこの制度に慎重だったのは、一説によると「バグ報告がお金になる」状況を生み出す影響について内部で議論があったからだという。バグを発見した人は、当然ながらできるだけ高く買ってくれるところに報告するという経済原則に従う。必ずしもAppleに報告してくれるとは限らないかもしれない。良心を欠いた人は、犯罪組織に報告してしまうかもしれない。Appleの表経済は、犯罪組織の裏経済に勝てるだろうか。あるいは、正義感の強い人はFBIやNSAに報告してしまうかもしれない。Appleの表経済は、国家権力の超経済に勝てるだろうか。人権を侵害するような行きすぎた捜査に利用される懸念はないだろうか。
このようなことから、犯罪組織や国家権力よりも高い報奨金を出すことが必要だった。もちろん、それはAppleの企業としての経済に見合う額でもなければならない。このような資金の準備や制度の構築に時間がかかったと言われている。
14歳の少年がmacOSのバグを偶然発見。報奨金は大学の進学資金に
このバグバウンティ制度には、事前に登録をしておく必要があるが、原則誰でも報告ができる。国籍も関係ないし、もちろん学歴や所属なども関係がない。実際、FaceTimeのグループ通話で、受信側が応答する前の音声と映像を発信者が見ることができてしまうというバグを発見したのは、米アリゾナ州に住む14歳の少年、グラント・トンプソン君だった。ゲームをプレイ中に偶然発見したという。
このときは、AppleはまだmacOSのバグバウンティ制度を始めていなかったが、Appleは報告を受けてすぐにバグを修正したアップデートを配布、Appleの経営陣の1人がトンプソン家を訪問し、お礼を述べ、報奨金の支払いを確約したという。グラント君は、大学の進学資金にすると喜んだそうだ。
グラント君の場合は偶然バグを発見したが、これを仕事にしている人がいる。彼らはバグハンターと呼ばれる賞金稼ぎだ。世界最大のバグバウンティプラットフォーム「HackerOne」が毎年公開しているレポートによると、2017年末時点でのバグハンター(HackerOne登録者)は16・6万人で、1年間で7.2万件の脆弱性が報告され、報奨金総額は2350万ドル(約26.5億円)となっている。
バグハンターで食っていける? 調査によると、収入は意外と高水準
このようなバグハンターとして、生活していけるものだろうか。もちろん、バグハントを専業にして暮らしていけるのはトップクラスの一握りのハンターだけ、ということは言うまでもない。しかし、収入はかなり高水準だ。
HackerOneには、ほぼ全世界のバグハンターが登録をしているが、各国のトップハンターの報奨金収入と、その国の平均給与を比較した表がレポートに掲載されている。これによると、トップはインドの16.0倍、次がアルゼンチンの15.6倍となる。この2つの国は、平均給与そのものが国際水準よりも低いが、先進国でもカナダで2.5倍、米国で2.4倍となり、決して悪い水準ではない。世界の平均は2.7倍になる。
バグハンターをするような人たちは、かなり凄腕のITエンジニアであるはずなので、バグハントをするよりは、どこかのIT企業に勤めたほうが収入は大きいかもしれない。「トップクラスでもその程度なのか」と見るか、「今後、バグバウンティ制度は広まっていくから期待できる」と見るのかは難しいところだが、今回Appleが高額のバグバウンティ制度を始めたことは、この制度をいい方向に進ませるきっかけになるに違いない。
専業バグハンターは少なめ。ITエンジニアの“高収入副業”として人気のようだ
参加者のプロフィール統計を見ると、専業という人はやはり少ない。エンジニアとして仕事を持っていて、その傍ら、バグバウンティに参加している人が一番多い。エンジニアの副業として考えれば、十分すぎるほどの収入だ。また、学生も多い。専業の人は、プロフィール上「無職」となるが、子育てのために一時的に無職になっている人を含めても、全体の2%強でしかない。
バグハント作業に週に何時間を費やすかを尋ねると、70%近い人が20時間以下と答えている。これは1日3時間程度で、副業として行っていると推測できる。一方で、40時間以上と答えた人も13.1%いて、こちらは本業といってもいいはずだ。
つまり、専業バグハンターは、全体の数%から10%程度と考えられる。職業としてのバグハンターはまだまだ難しいものがあるようだ。
バグバウンディへの参加は、ITエンジニアにとってお金以外のメリットも
世界的に見てもバグバウンティ制度は、ようやく定着してきたところだ。HackerOneのレポートでも、2017年版では参加する理由の1位が「お金を稼ぐため」だったが、2018年版では4位に後退している。「自己顕示のため」という理由も下位に下がってきている。2018年版では「技術を学ぶため」が1位で、以下、「挑戦するため」「楽しみのため」という回答になる。
つまり、以前は「オレはこんなすごい脆弱性を発見できる」という青臭い自己顕示が強く、それでお金を稼ぐというのがバグバウンティだった。“中二病的なハッカー”っぽい理屈で参加をしている人が多かった。しかし、ここ数年でそのような感覚は後退し、「本業でも役立つ知識を身につけることができ、ついでにお金ももらえる」という趣味と実益を兼ねた副業に近いものになっていると考えられる。副業として考えれば十分すぎるほどの報酬だ。
日本にもバグバウンティ制度に参加をしているエンジニアはたくさんいて、多くの人が口にするのが、「本業とは異なるコミュニティに参加できること」をメリットに挙げている。エンジニアはもともとエンジニアリングが好きだから、エンジニアになった。しかし、業務で扱う技術は必ずしも自分の興味と完全一致しているとは限らない。このずれをバグバウンティ制度を活用して、補正している印象を受ける。
セキュリティに興味がある人にとっては、バグバウンティ制度は優れた副業になる。Appleのバグバウンティ制度が正式に開始したら、登録をしてみてはいかがだろうか。楽しみながら、お金が稼げるということは世の中にはそうは多くない。
おすすめの記事
著者プロフィール
牧野武文
フリーライター/ITジャーナリスト。ITビジネスやテクノロジーについて、消費者や生活者の視点からやさしく解説することに定評がある。IT関連書を中心に「玩具」「ゲーム」「文学」など、さまざまなジャンルの書籍を幅広く執筆。