バグ報告したハッカーをYoが採用、それが賢い理由とは

140702_yohacker.jpg

ユーザ爆発に対応するには、今までと同じじゃダメなのかも。

YoアプリってひたすらYoって投げ合うだけの、イラっとくる寸前なくらい(良い意味で)ムダなアプリですが、ユーザ数はすでに100万人を突破しています。でもYoが面白いのはアプリだけではなく、採用の姿勢にも興味深いものがあります。彼らはYoをハックした学生を会社に雇い入れたのです。

Yoアプリがコピーされてもしょーもないのですが、Yoのハッカーに対する姿勢を他社も真似るようになったらどうなるでしょうか?

テック企業とハッカー

たとえばYoと比べればソーシャルツールの大先輩・Snapchatはハッカー対応が意外とプアで評価を下げています。Snapchatはセキュリティ脆弱性の警告を無視し続けていて、結果的に460万人分のユーザ名が流出するなどの被害につながりました。その後Snapchatはセキュリティ対策要員を強化して流出問題に真剣に取り組むと表明しましたが、セキュリティホールをつついて警告する外部のハッカーに対する褒賞プログラムはまだ作っていません。

フェイスブックやグーグルなどいくつかの企業には、こうした善意のハッカーに謝礼を支払うプログラムがあります。新しい企業でも、たとえば匿名投稿アプリSecretでもハッカーへの褒賞プログラムを用意しています。

褒賞プログラムもいいですが、それならもう一歩進めてバグ報告をセキュリティ採用ツールにするという手もあります。たとえばグーグルは2011年、Google+のソースコードをハックして新機能を発見したスイスの開発者Florian Rohrweckさんを採用しました。同じ年にフェイスブックもその筋ではよく知られたiPhoneハッカー・George Holtzさんを採用しています。

ただフェイスブックは、いつでもハッカー大歓迎というわけでもないようです。たとえば第三者のウォールに投稿できるバグを発見したKhalil Shreatehさんには、褒賞500ドル(約5万円)の支払いを拒否して問題視されました。一方ブラジルのエンジニアReginaldo Silvaさんがより大規模な脆弱性を発見したときは3万3,500ドル(約335万円)の褒賞を支払ったのですが、Silvaさんを雇っちゃってもよかったかもしれません。

リスクとメリットのはざま

ハッカーを雇うのにはリスクがあります。彼らはサーヴィスに侵入して全滅させる方法を知っているからです。それは、映画「キャッチ・ミー・イフ・ユー・キャン」で知られる(元)詐欺師のフランク・アバグネイル氏をFBIが雇ったケースと似ています。もっと最近ではFBIがSabuを使ってLulzSecメンバーを大量検挙した例も近いです。自社サーヴィスを破壊しうる人物を雇うのには抵抗があるでしょうが、その方が賢い場合もあります。というのは、ハッカーはときに他のセキュリティ専門家よりも誰よりも、そのソフトウェアを熟知しているんです。

たとえていえば、自分のマンションとか近所の道で一番守りの薄い場所を知ってる人みたいな感じです。自分の担当時間をカウントダウンしている警備員と、ボーイフレンドに会うため家を抜けだそうと画策している女の子、どっちがより良い抜け道を知っているでしょうか? 裏を書くことでスキルが上がることは往々にしてあります。もちろんハッカーの中には単に他人のミスを指摘して喜びたいだけの人物もいますが、悪意はなく能力が高いのに適切な評価を受けていない人も多いのです。

Snapchatのようなスタートアップは、短期間で爆発的にユーザーを増やしています。でも規模が大きくなることで、小所帯なら切り抜けられる危機も悪夢に変わることがあります。つまりセキュリティ対策も爆発的に進化させていく必要があるとすれば、従来と同じやり方で人を雇い、育てようとしても間に合わない可能性があります。ということはYoみたいにリスク覚悟でハッカーの力を取り込んでいく方が、短期間でセキュリティを高められるのではないでしょうか。

Kate Knibbs - Gizmodo US[原文

(miho)