　新制度の対象となるのは、「Android Open Source Project（AOSP）」コード、OEMコード（ライブラリ、ドライバ）、カーネル、ARMプロセッサの「TrustZone」OSおよびモジュールだ。当初は、Googleのデバイス（「Nexus 6」と「Nexus 9」）に含まれるバグだけが対象となる。これらは、Androidのエコシステム全体に影響を及ぼすバグである可能性が高いからだ。

　Googleはバグの発見に対して賞金を支払うだけでなく、個別リプロダクションコードあるいは個別テストケースや、問題を検出する「Compatibility Test Suite（CTS）」テスト、あるいはCTSテストとパッチの提出には、さらに高額の賞金を出す方針だ。

　脆弱性検査ツールを開発している米Rapid7で技術マネジャーを務めるトッド・ビアーズリー氏によると、こうした取り組みは重要なステップだという。セキュリティの調査だけではなく、セキュリティ関連の開発協力も報奨の対象として重視されるようになるからだ。

　「今回の発表と新制度の内容を見れば、脆弱性報告以外の協力、例えばパッチの開発やCTSテスト手順にも賞金を出すという姿勢がうかがえる」とビアーズリー氏は指摘する。「ほとんどのバグ発見報奨制度がバグの発見と報告を重視しているのに対し、Googleはオープンソースプラットフォームにおけるエンド・ツー・エンドのセキュアな開発を重視している」

　Googleは2010年以来、脆弱性発見制度を通じて400万ドル以上の賞金を支払っており、2014年の支払い額は150万ドルだった。

　Android Security Rewards制度の報奨額はシステムへの影響の度合いによって異なり、「ASLR」（Address Space Layout Randomization）やサンドボックスといったAndroidプラットフォームのセキュリティ機能を回避する方法を示した場合に高額の賞金が支払われる。例えば、セキュリティ研究者がバグを発見し、重要な遠隔操作のテストケース、パッチおよびエクスプロイトを作成した場合の賞金は約3万8000ドルになる可能性がある。

　ビアーズリー氏によると、この新制度がテスト分野全体に与える影響にも関心があるという。

　「今後の展開が興味深い。この報奨制度は、セキュリティ関連作業だけでなく従来の品質保証（QA）作業にも報奨を与えるという方向につながるからだ。QAは脆弱性調査と関連した分野だが、その原則は大きく異なり、再現性と信頼性の期待値も異なる」と同氏は語る。

TechTargetジャパントップスマートモバイル