「ChatGPT」などの自社製品のセキュリティ強化を目指して、OpenAIは脆弱性報告者に報奨金を支払う制度「バグバウンティ」を開始した。脆弱性を報告した人は、どのくらいの報奨金がもらえるのか。制度の注意点とは。
人工知能(AI)技術ベンダーOpenAIが2023年4月に開始した、脆弱(ぜいじゃく)性報奨金制度「バグバウンティ」(Bug Bounty)。AIチャットbot「ChatGPT」をはじめ、同社製品の脆弱(ぜいじゃく)性を報告した人に対して報奨金を支払い、セキュリティの向上を図る制度だ。報告者は、どのくらいの金額の報奨金を受け取ることになるのか。
OpenAIは、報告を受けた脆弱性の重大性やリスクの影響範囲に応じて、200ドル(約2万8800円)から6500ドル(約93万6000円)の報奨金を報告者に支払う。同社によると、それ以上の金額を支払う場合もあるものの、上限は2万ドル(約288万円)になっている。
今回のバグバウンティを利用する場合、報告者は報告する脆弱性情報を一般公開することはできない。こうした脆弱性公開の制限を巡っては、ベンダーが情報を公開せずに“こっそりと”修正することが常態化することを危惧する声がある。そのためセキュリティ専門家やホワイトハッカー(倫理的ハッカー)の不満の種になりかねない。
セキュリティベンダーLuta Securityの最高経営責任者(CEO)、ケイティ・モスーリス氏は、脆弱性公開の制限を理由に、バグバウンティを通じた脆弱性の報告が広がらない可能性を指摘。「脆弱性情報の提供に至らず、脆弱性が修正されない可能性がある」と危惧する。
攻撃者はマルウェアの生成といった犯罪行為に、ChatGPTを悪用する可能性がある。こうした懸念については、OpenAIは今回のバグバウンティとは別の形での報告を受け付けているという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...