■バグハンターと企業をつなぐ「脆弱性ハンドリング」 　もちろん、ソフトウェア製品の脆弱性対策については、国際的な枠組みが存在する。「脆弱性ハンドリング」と呼ばれる標準的なプロセスが、各国のセキュリティ関連機関と民間企業の間で運用されているのだ。 　バグにしろ脆弱性にしろ、製品やサービスに存在しないのが理想だが、現実にそれは不可能だ。したがって、使いながらソフトウェアやシステムの脆弱性をつぶしていく。 脆弱性の発見についてはこちらの記事にあるように、製品ベンダーやサービス提供者、研究者やホワイトハッカーによってしかるべき窓口(IPAまたはJPCERT/CC)に報告される。その後、製品ベンダーらと内容を精査し、対応策(セキュリティアップデートやパッチ)とともに一般に公表され、ユーザーは対応策を実施することでセキュリティを確保する。

　こうした脆弱性ハンドリングという仕組みの中で、最初に脆弱性を発見する研究者やホワイトハッカーの中にバグハンターも含まれるというわけだ。 　世界的なビッグテック企業やFortune500に載るような大企業は、その意思がなくとも外部から脆弱性の指摘や報告情報が寄せられる。必然的にバグハンターの対応部署・担当者を組織として持つことになるが、そうでなくても窓口を設けて脆弱性の早期発見・対応につなげているところもある。

　企業が積極的にバグハンターを活用するのには合理的な理由があるからだ。 　一般的なソフトウェアのバグならば、使っている利用者からの報告、システムのエラーログなどから把握することができる。しかし、仕様にない不具合や未知の脆弱性となると、開発元でも発見は簡単ではない。チェックの目は多いほうがよい。 　企業にとっては、自社で脆弱性の検証を行う人材やシステムなどの開発コスト・メンテナンスコストを考えたら、市井の専門家の手を借りたほうが効率がよく、報奨金のほうが安くあがるかもしれない。