バグハンターという副業はいかがだろうか

ITニュース

世界に多種多様な仕事が存在します。
バグバウンティ制度って知ってますか?

バウンティとは報奨金のことを指してます。

スポンサーリンク

バグハンターという仕事

企業がウェブやデジタル製品などについて、広く脆弱性検出を依頼し、発見した人に報奨金を支払うという仕組みです。
Google、Facebook、MicrosoftなどのグローバルIT企業が導入している。
日本でも、LINE、サイボウズ、chatwork、任天堂など導入してます。

参加資格は誰もOK
企業が独自にオフィシャルサイトなどで、バグバウンティ制度を運営していることもあります。
多くはバグバウンティプラットフォームに登録をし、あとは対象のウェブ、アプリなどから脆弱性を探し出し、レポートを提出する。
場合によっては100万円以上の報奨金が得られるから驚きです。

世の中には企業に属することなく、このバグバウンティ制度を利用して、報奨金だけで生活しているホワイトハッカーもいる。
このような人たちをバグハンターと呼ばれています。

世界での報奨金総額は26憶円

バグハンターとして生計できるのかという疑問を持ちますが、世界最大のバグバウンティプラットフォームHackerOneの2017年レポートによると
HackerOneには16万6000人以上のハッカーが登録をしており、1年で7万2000件以上の脆弱性が報告されている。
その報奨金総額は2350万ドル(約26憶5000万円)になる。

1年間でもこれだけの額が世界で動いていることが驚きです。

HackerOneには、ほぼ全世界の国のバグハンターが参加しているが、各国のトップハンターとその国の平均給与を比較した表が掲載されている。
インドのトップハンターの報奨金は平均給与の16倍、アルゼンチンが15.6倍と驚くほど高い。
インド、アルゼンチンは平均給与が国際水準より低めではあるが、カナダで2.5倍、アメリカでも2.4倍と先進国でも悪くない。
むしろ、夢ある仕事といえる。

あくまでも、トップハンターでの話なので、「トップでもその程度か」と思うか「夢があると」思うかは分かれるところでしょうね。

というわけで、前置きが長くなってますが、タイトルのとおり、副業ではいいじゃないかなという話です。

参加者の大半がバグハンター専業という人は少ないようで、一番多いのがIT企業のエンジニアとして勤めいながらバグバウンティに参加しているというパターンです。
なかには、学生もいる。無職(バグハンター専業)という人は全体の2%にも満たない。

ウェブやデジタル製品の脆弱性を見つけるためにはやはり、専門の知識が必要ってことですね。

メーカーもバカじゃないから、素人が簡単に見つけれるバグは製品リリース前に見つけて修正してますよね。

副業として参加している人が多いようだが、どのぐらいの時間を費やしているのだろうか。
こちらについても、HackerOneのレポート「The 2018 Hacer Report」に記載されていた。

週何時間、バグハント作業に費やすかを尋ねたところ、70%近い人が20時間以下と回答している。
一日にするとだいたい3時間程度になる。

もし3時間程度の時間で本業に近い報酬がもらえるなら、副業として悪くない。

しかし、レポートには40時間以上と回答した人が13.1%いることが記載されている。
40時間以上となると、1日6時間以上を費やしている。ほぼ本業じゃん・・・

バグバウンティの難しいところは、費やした時間が報奨金に比例しないところです。
報奨金は「重大な脆弱性」なほど高く設定されています。
運よく「重大な脆弱性」を見つけることができれば、割のいい仕事になるが、あたりのつけ方が悪ければ、作業時間は0円ということもありえる。

それもで、バグバウンティ参加者は増えている

バグバウンティに参加する人は年々増えている。
その目的が1位の回答は「技術を学ぶため」で、以下「挑戦するため」「楽しみのため」と続く。

趣味と実益を兼ねた副業としては、報酬はかなり多めだととらえている人が多いのではないでしょうか。

ちなみに、2017年のレポートでの1位は「お金を稼ぐため」だったようですが、今年は4位に・・・・
なかには、「自己顕示のため」というプライドの塊のような回答もすくなからずいる。

ハッカー側もバグバウンティだけで生計を立てるよりも、脆弱性を発見することで、自分の仕事に活かしたり、同じような目的の人と知り合ったり、企業側と接点を作り本業の選択肢を広げていくことにシフトしているのではないだろうか。

バグハンターはホワイトハッカーとしての生き方の1つ

バグハンターはまさに賞金稼ぎの世界
素人が飛び込んでも、稼ぐことはできず、腕のあるものでも、見つけられないこともあるわけです。

また、報奨金の支払いには長い場合だと数か月かかることがある。
なぜなら、レポートを提出しれから、その脆弱性を検証しているため

企業からすれば、低コストでセキュリティ対策ができ、なおかつ広い目での対策もできる。
今後、このような動きは活発になり、参加者が増えるでしょうね。ハッカーも企業も

日本のバグバウンティプラットフォームBugBounty.jp