1: ジャーマンスープレックス(大阪府)@\(^o^)/ 2014/12/20(土) 11:57:51.76 ID:JJHndEP+0.net BE:711292139-PLT(13121) ポイント特典
ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。
開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。
GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。
12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。
キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)。特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、活動時間は“やる気のある時”とのこと。
主に夕方から深夜にやる気が高まるそうだ。生計のほとんどがベンダーから支払われる報奨金であり、2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
2014年は収入がアップしそうだという。
キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、報告件数は世界で2番目に多い。
報告内容ではXSSが73%を占め、キヌガワさんの強みが目立っている。
バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、
問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。
こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、キヌガワさんは評価する。
同社は2013年に報奨金の額を大幅にアップするなど制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。
しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。
日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。
全文ソース
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html
開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。
GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。
12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。
キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)。特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、活動時間は“やる気のある時”とのこと。
主に夕方から深夜にやる気が高まるそうだ。生計のほとんどがベンダーから支払われる報奨金であり、2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
2014年は収入がアップしそうだという。
キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、報告件数は世界で2番目に多い。
報告内容ではXSSが73%を占め、キヌガワさんの強みが目立っている。
バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、
問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。
こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、キヌガワさんは評価する。
同社は2013年に報奨金の額を大幅にアップするなど制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。
しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。
日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。
全文ソース
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html
18: キチンシンク(チベット自治区)@\(^o^)/ 2014/12/20(土) 12:29:46.41 ID:wR6vFS4B0.net
ハッカーを敵視するより
金やって飼い慣らす方が賢いもんな
金やって飼い慣らす方が賢いもんな
8: アイアンフィンガーフロムヘル(東京都)@\(^o^)/ 2014/12/20(土) 12:12:55.23 ID:0k0SSKiB0.net
日本じゃバグ報告が不正アクセス扱いになるからな
20: チキンウィングフェースロック(関西地方)@\(^o^)/ 2014/12/20(土) 12:31:15.29 ID:qU5rmjyv0.net
> 2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
?(´・ω・`)
?(´・ω・`)
【事前予約ios版】アニメ「異能バトルは日常系のなかで」の公式カードゲーム
【事前予約Android版】重度の厨二病を患っている主人公達の高校生ライフと萌えるシミュレーション
4: ツームストンパイルドライバー(SB-iPhone)@\(^o^)/ 2014/12/20(土) 12:01:23.40 ID:Gj7acOiP0.net
受けを狙った8進数がダダ滑りな件
5: フロントネックロック(広島県)@\(^o^)/ 2014/12/20(土) 12:02:29.38 ID:PUhlNDuj0.net
> 2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。
つまりいくらだよ(´・ω・`)
つまりいくらだよ(´・ω・`)
7: ファルコンアロー(神奈川県)@\(^o^)/ 2014/12/20(土) 12:08:45.75 ID:r+Vwhdrt0.net
>>5
¥607,7158
¥607,7158
31: ミラノ作 どどんスズスロウン(埼玉県)@\(^o^)/ 2014/12/20(土) 12:49:52.29 ID:amozkxwq0.net
>>7
大した額にならんな
大した額にならんな
35: セントーン(愛知県)@\(^o^)/ 2014/12/20(土) 13:04:39.43 ID:k5Fe+H3P0.net
>>31
バグ見つけるのが趣味みたいなもんなんだろ
趣味で年収607万ならいいほうじゃね
バグ見つけるのが趣味みたいなもんなんだろ
趣味で年収607万ならいいほうじゃね
34: パイルドライバー(やわらか銀行)@\(^o^)/ 2014/12/20(土) 13:00:14.98 ID:pIgCmTDu0.net
>>7
変なところに点打つな
変なところに点打つな
42: アイアンクロー(チベット自治区)@\(^o^)/ 2014/12/20(土) 13:44:26.58 ID:Oys4TYyo0.net
>>34
定期的にカンマが3ケタになったり4ケタになるよ、小学校の学習指導
俺なんか4ケタで習ったから、社会に出てから慣れるまで大変だった
いま小学校の娘も4ケタに指導要綱が変わってるから将来苦労する
定期的にカンマが3ケタになったり4ケタになるよ、小学校の学習指導
俺なんか4ケタで習ったから、社会に出てから慣れるまで大変だった
いま小学校の娘も4ケタに指導要綱が変わってるから将来苦労する
43: バックドロップホールド(SB-iPhone)@\(^o^)/ 2014/12/20(土) 13:51:41.14 ID:Hob4rz2x0.net
>>42
調べたらマジだったので唖然
読みやすくするなら2|0000とかにしろよ
2,0000とか見るだけでむず痒い
調べたらマジだったので唖然
読みやすくするなら2|0000とかにしろよ
2,0000とか見るだけでむず痒い
13: 逆落とし(庭)@\(^o^)/ 2014/12/20(土) 12:20:01.69 ID:TQkNO2D50.net
自前で探すより報奨金出した方が効率的だって、さすがアメリカだな。
15: エメラルドフロウジョン(大阪府)@\(^o^)/ 2014/12/20(土) 12:26:50.63 ID:DmL1ItAQ0.net
>>13
そら「これどうなってんだよ」と聞きに行ったら
「フォーラムで聞いたら、きっと親切な部外者が多分解決してくれるYO!」と言うのが
お約束な国だからな
そら「これどうなってんだよ」と聞きに行ったら
「フォーラムで聞いたら、きっと親切な部外者が多分解決してくれるYO!」と言うのが
お約束な国だからな
16: スターダストプレス(SB-iPhone)@\(^o^)/ 2014/12/20(土) 12:27:40.96 ID:BckVMt+C0.net
>>13
名ばかりのセキュリティコンサル雇うより、よっぽど投資対効率良さそうだよな
名ばかりのセキュリティコンサル雇うより、よっぽど投資対効率良さそうだよな
23: リバースネックブリーカー(広島県)@\(^o^)/ 2014/12/20(土) 12:34:56.94 ID:laEpoTU/0.net
>活動の場は自宅で、活動時間は“やる気のある時”とのこと。
>主に夕方から深夜にやる気が高まるそうだ。
なんか別の話してない?
>主に夕方から深夜にやる気が高まるそうだ。
なんか別の話してない?
28: ストマッククロー(大阪府)@\(^o^)/ 2014/12/20(土) 12:43:40.75 ID:wso0FJ4I0.net
8進数ってのはウェブバグになんかかんけいあるますですか?
29: シャイニングウィザード(東京都)@\(^o^)/ 2014/12/20(土) 12:43:47.78 ID:OOcfeWHv0.net
検索で凍ったりマップがクソ重くなったり
最近のGoogleはクオリティー低すぎ
最近のGoogleはクオリティー低すぎ
33: 魔神風車固め(dion軍)@\(^o^)/ 2014/12/20(土) 12:58:15.96 ID:wC30fpFy0.net
Googleで2番めにバグ取りが上手いのに年収600万ってなんだか安すぎない?
36: ネックハンギングツリー(埼玉県)@\(^o^)/ 2014/12/20(土) 13:06:29.86 ID:D3tcdnB50.net
>趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)
どういうことなんですかね・・・
どういうことなんですかね・・・
41: ナガタロックII(大阪府)@\(^o^)/ 2014/12/20(土) 13:43:29.28 ID:njelhQR10.net
マイクロソフトは毎月信者が無料でチェックしてるというのに
45: 足4の字固め(茨城県)@\(^o^)/ 2014/12/20(土) 14:00:21.73 ID:5/poeb3b0.net
日本人はマゾだからね
ゲーオタなんて高いゲームソフトと別売りDLCに金払って
バグ探ししてるくらいだし
ゲーオタなんて高いゲームソフトと別売りDLCに金払って
バグ探ししてるくらいだし
49: チェーン攻撃(埼玉県)@\(^o^)/ 2014/12/20(土) 14:09:12.09 ID:EOGgtQms0.net
こいつもやっぱシングルハンターくらいになるのか
52: アトミックドロップ(芋)@\(^o^)/ 2014/12/20(土) 14:15:11.56 ID:2ZjoO1/B0.net
でもバグ修正するんじゃないからバグハンターはおかしいよね
バグシーカーじゃねえの
バグシーカーじゃねえの
56: ダイビングフットスタンプ(福岡県)@\(^o^)/ 2014/12/20(土) 14:30:05.31 ID:MBZvNdn50.net
ニートはこれいい訳にして職探しすれば空白期間埋めれるんじゃないだろうか
63: ミラノ作 どどんスズスロウン(埼玉県)@\(^o^)/ 2014/12/20(土) 16:04:13.83 ID:amozkxwq0.net
>>56
他人のあら捜しみたいなもんだから理解がまずしてもらえないと思う
他人のあら捜しみたいなもんだから理解がまずしてもらえないと思う
57: タイガードライバー(芋)@\(^o^)/ 2014/12/20(土) 14:31:04.02 ID:2/drTrxb0.net
一億円くらいもらえるユーチューバと
600万のバグ探しの人
Googleが評価してるのはユーチューバなのか
600万のバグ探しの人
Googleが評価してるのはユーチューバなのか
62: エメラルドフロウジョン(三重県)@\(^o^)/ 2014/12/20(土) 16:03:12.39 ID:p1jltwAJ0.net
バグが無くなったら困るわけだな
68: ショルダーアームブリーカー(大阪府)@\(^o^)/ 2014/12/20(土) 16:16:26.68 ID:cxgx/Jru0.net
でもウマーなのはGoogleで主従の従なんだよな
69: メンマ(埼玉県)@\(^o^)/ 2014/12/20(土) 16:17:39.90 ID:DF1sskF+0.net
ハゲハンターかと思った
71: ボ ラギノール(チベット自治区)@\(^o^)/ 2014/12/20(土) 16:20:11.85 ID:NLiQD4vT0.net
バグ報告って金もらえるのか、知らなかった
74: バックドロップホールド(愛知県)@\(^o^)/ 2014/12/20(土) 17:25:43.55 ID:w7rYKXIM0.net
アップルもやってないのかね
iOSのバグ多すぎるんだが
iOSのバグ多すぎるんだが
60: ドラゴンスープレックス(愛知県)@\(^o^)/ 2014/12/20(土) 15:57:29.74 ID:EnOK5ocg0.net
>最後に将来の夢についてキヌガワさんは、結婚をして、“主夫”をしながら脆弱性を続けたいと語った。
>ただ、バグハントの実力は世界でも指折りながら、“女子ハント”のスキルが足りていないことが切実な問題だという。
うぜえw
>ただ、バグハントの実力は世界でも指折りながら、“女子ハント”のスキルが足りていないことが切実な問題だという。
うぜえw
47: チェーン攻撃(関東地方)@\(^o^)/ 2014/12/20(土) 14:01:41.30 ID:VtIj0l4yO.net
うちの会社に欲しいわ
24: アンクルホールド(関西・東海)@\(^o^)/ 2014/12/20(土) 12:35:12.74 ID:gFS0bMbVO.net
引用元: http://hayabusa3.2ch.sc/test/read.cgi/news/1419044271/
1 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 22:37 ▼このコメントに返信 この人、ベネッセのサイトのXSS脆弱性を善意で"報告"したら、無能なベネッセがISPに通報してネット接続止められたっていう過去があったりする
2 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 22:39 ▼このコメントに返信 ハンターチャンス!
3 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 22:40 ▼このコメントに返信 ここ数ヶ月ウィンドウズアップデートが毎回危険なんだけど、
MSなんかあったの?
向こうはデバッグ作業もバグ報告する人間もいないの?
4 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 22:44 ▼このコメントに返信 ユーチューバーになった方がましだな・・・
5 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 22:45 ▼このコメントに返信 米1
子供を保護して警察に行ったら職質受ける国だからね、仕方ないね
6 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 22:49 ▼このコメントに返信 シモエルさんかな?(すっとぼけ)
7 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 22:54 ▼このコメントに返信 安い安い言ってる奴もいるが俺みたいな底辺視点だと十分貰ってるんだよなあ・・・
米1
うわあ・・・ あほすぎてなんも言えねえ・・・
8 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 22:58 ▼このコメントに返信 元記事より
カンマの位置を4桁で区切るのが教育に加わっている事に驚きだよ
9 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 23:02 ▼このコメントに返信 日本の絶望的なところはPCできない老人が上に居座ってるところだな。
アメリカだと上に居続けるには老人でも勉強必須な実力主義。
10 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 23:11 ▼このコメントに返信 官僚と政治家がいなくなると日本はより発展する
11 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 23:13 ▼このコメントに返信 >カンマの位置を4桁で区切るのが教育に加わっている事に驚きだよ
4桁区切りが常識になってる新人がゾロッと入ってきたら職場は混乱するな
12 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 23:24 ▼このコメントに返信 目に見えて手に取ることが出来るモノには金を出す → 老人
情報・ソフトは無料 → 老人
老人「PC使えるぞ!」→ 一本指入力
経済=重厚長大 → 老人
13 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 23:33 ▼このコメントに返信 日本では他人の欠点を指摘すること自体を悪と考える人が多いからな。
和を乱すとか、メンツを潰すとか、礼儀に反するとか、すぐに精神論の問題になってしまう。
欠点を理性的に捉えて物事を進歩させようとする気概が足りなさすぎる。
ペヤングの件にしてもそうだよ。
14 名前 : 暇つぶしの名無しさん投稿日:2014年12月20日 23:51 ▼このコメントに返信 ※9
でもお前アメリカ行った事ないじゃん
15 名前 : 投稿日:2014年12月21日 00:21 ▼このコメントに返信 そんな事より4桁でカンマ打つ方が衝撃
16 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 00:38 ▼このコメントに返信 ※15
まぁ3桁でカンマ打つのは英語圏の数え方(1000毎に桁あがり)から来てるものだしな
日本語だったら4桁の方が理に適ってる
17 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 00:40 ▼このコメントに返信 ※14
横レスやけど行ったとかどうとか物理的な話になるなら明治時代の先駆者の大半は行ったこと無いんだろうけど
今の時代の親米旅行者やらバックパッカー達よりもよほど欧米文化を研究して日本の役に立てようとしてたんじゃね?
18 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 01:02 ▼このコメントに返信 やっぱ日本じゃIT技術者は正当に評価されねーな
19 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 01:25 ▼このコメントに返信 四桁が理にかなってるとか正気かよ
日本語がどうであろうが、こういう共通ルールは日本を含む世界基準で統一しなきゃ苦労するぐらいわかるだろ
あのアメリカ様でさえインチフィートの肩身が狭くなってるというのに。
政府がもし四桁毎のカンマを推し進めたいなら、その前に世界大戦で二連勝するぐらいの実績を作ってくれ
20 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 02:07 ▼このコメントに返信 マジで?
あたし年収700万の女だけど結婚して。
専業でいいよ。
ちゃんと家事(主に掃除)やってくれれば。
扶養以内の稼ぎは小遣いにしてくれていいし。
21 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 02:10 ▼このコメントに返信 日本は品質にこだわるくせに品質保証の技術者には金払わないんだからとんだお笑いぐさだよ。
22 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 02:38 ▼このコメントに返信 食品安全基準、医療、金融、保険、労働、著作権、放送、電気通信、法務、士業、教育、郵政、公共事業なども対象
世論工作他「サルでもわかる.TPP」「日本人分断工作」で検索
23 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 02:47 ▼このコメントに返信 ニートが他人の欠点を偉そうに指摘するとかもうギャグだろう
24 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 03:07 ▼このコメントに返信 経理系の資格試験では4桁ごとにカンマ打つと落ちる。
たぶんまともに答案を見てももらえない。
25 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 06:02 ▼このコメントに返信 ※19
「日本語なら」って前置きがあるのに揚げ足取るのかよ
日本語圏での使用ならどう考えても1万で桁あがりの4桁区切りが実用性あるだろ?それともあなたは海外に行って日本文を使うのですか?
言いたい事はわかるよ。学術的な論文については英語で書き上げないと評価対象にならないってのは確かにあるし。でもさ、使い分けってそんなに難しい?
そもそもインチ・フィートを引き合いに出してるけど、桁区切りと同列に扱うような物じゃないでしょ。桁区切りの4桁3桁を間違えたところで読みにくくなるだけだし訂正も簡単だけど、メートル法への変換は換算率を知らなきゃ出来ないことでしょ。比較対象としてあげるにはいささか極端すぎるよ
26 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 09:04 ▼このコメントに返信 ※25
>日本語圏での使用ならどう考えても1万で桁あがりの4桁区切りが実用性あるだろ?それともあなたは海外に行って日本文を使うのですか?
何を言っとるのだお前は
27 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 09:08 ▼このコメントに返信 日本語ならカンマ4桁は常識だろ。こんなん何十年も前から小学校でやってる
ネットは幼稚園しか行ってないやつの溜まり場だな
28 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 09:38 ▼このコメントに返信 XSSは昔から言われてるし、サニタイジングすれば良いだけなのにかなりの確率で脆弱性がある
インジェクション系の攻撃は対策してるサイト増えてきたけど
セキュリティなんて目に見えないし、効果が出てるかも分かりにくいから日本だと予算で真っ先に削られる部分
基幹システム含めてWebアプリもプラットフォームも脆弱性が多すぎる
29 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 10:36 ▼このコメントに返信 ハニー・ハンター
30 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 11:22 ▼このコメントに返信 8進数なのに万って意味不明
31 名前 : 暇つぶしの名無しさん投稿日:2014年12月21日 13:28 ▼このコメントに返信 日本語なら4桁区切りは普通だろ?
米30
「1000万kmはおかしい。10Gmにしろ」ならわかるが、万は万だ
32 名前 : 暇つぶしの名無しさん投稿日:2014年12月22日 05:23 ▼このコメントに返信 米31
万は10^4であって8^4ではない
33 名前 : 暇つぶしの名無しさん投稿日:2014年12月22日 08:39 ▼このコメントに返信 何でも世界基準でというなら日本語を捨て去って英語のみで生きるしかないんじゃないか。
フランスなんかも10進法じゃない数え方するんでしょ?
34 名前 : 暇つぶしの名無しさん投稿日:2014年12月22日 10:44 ▼このコメントに返信 米1
ソニーといいベネッセといい日本のセキュリティ部門終わってるな