数あるオンラインゲームの中でも屈指の人気を誇るMOBAタイトル『League of Legends』。本作を開発しているRiot Gamesは、現在クローズベータテストを行っている「バグ報奨金プログラム」の情報を公開し、その始まりと概要を明かしました。
ある日、『League of Legends』のウェブサイトで、Riot Gamesが見逃していた脆弱性が発見されました。その脆弱性はオーストラリア、シドニーに住むセキュリティエンジニアJamieson O'Reilly氏が発見したもので、フォーラムユーザーの個人情報を盗み、偽の記事を作成することができるなど、放っておくとフィッシング詐欺などに悪用されていたかもしれない深刻なものでした。
彼はRiot Gamesにその脆弱性についての調査結果を提出したものの、そのメールがセキュリティチームに届き、対処が行われるまでに1週間の時間がかかってしまいました。また、同社は脆弱性の発見者である彼に報いるためのシステムを持っていませんでした。
最終的に脆弱性は修正されましたが、Riot Gamesは対処するまでの時間の長さや報告者に報いるシステムの欠如を問題とし、状況を改善するために「バグ報奨金プログラム」を導入しました。2013年4月からクローズドベータテストを行っている本プログラムでは、限られた特定のセキュリティエンジニアが参加しており、開発者と円滑なコミュニケーションを取って、報告された脆弱性に対して迅速に対応できるようになっています。報告から報奨金の支払いまで24時間以内に行われた例もあったようです。
バグ報奨金プログラムは一定の成果をあげており、これまでにクライアントクラッシュや脆弱性など75以上のバグが報告され、10万ドル以上の報奨金が支払われてきました。現在、本プログラムは、自分のアカウントや他人のアカウントで脆弱性を試していないことなどのルールや報奨金を受け取る資格といったガイドラインが定められており、慎重に運用されています。また、同社はバグ報奨金プログラムを全体へと開放する準備はできていないものの、すぐにコミュニティと情報を共有することが出来るとしています。
このような報奨金プログラムはFacebookやGoogle、Microsoftでも行われており、成果をあげています。国内では脆弱性報告に対する制度が整っていない中、海外ではユーザーと連携して迅速なセキュリティ対策へと乗り出しているようです。
