データ漏洩リスクなどIT（情報技術）システムの脆弱性を見つけた外部ハッカーに企業が報奨金を払う動きが世界で広がっている。経済のデジタル化でソフトウエアが組み込まれた製品が増え、製造業も含めて不具合への対応が喫緊の課題になっている。米グーグルが優秀なハッカーに1億6000万円超を用意するなど報奨金額は増加の傾向だ。サイバー防衛にハッカーを味方につける仕組みができつつある中、日本企業の動きは鈍い。

（中略）

グーグルは2010年からソフトの不具合を見つけたハッカーに報奨金を払ってきた。今回、スマートフォン基本ソフト（OS）「アンドロイド」の遠隔操作につながるバグ（欠陥）発見への報酬を20万ドルから大幅に引き上げた。公表ベースでは産業界で過去最大額だ。

ソフトの不具合を利用して悪事を働くこともあるハッカーだが、ホワイトハッカーと呼ばれる「善意」のハッカーを活用する企業が増えている。米テスラや米スターバックスなど多様な企業が報酬制度を導入した。（日本経済新聞　12月16日）

AIやITセキュリティー関連の技術者の争奪戦で負け続けている日本企業だが、社外の人材の能力を活用する点でも後れを取っている。ホワイトハッカーは、様々な企業や組織のITシステムに対して、実際に侵入を試みるペネトレーションテストを行い、脆弱性を発見したら、それを企業や組織に通知することで報奨金を得ている技術者だ。

こうした能力を持つ技術者を採用して自社の従業員とするのも選択肢のひとつだが、もっと有能な技術者が世の中にいれば、侵入される可能性は払拭できない。自社のセキュリティレベルを世界最高水準に維持するには、世界中のホワイトハッカーに参加してもらう方が効率的だ。150万ドル（約1億6千万円）は確かに高額ではあるが、有能な技術者には数十万ドルの年俸を支払う欧米企業にとってはそれほど高くもない。報奨金が完全な成功報酬であることを考慮すれば妥当な額とも言える。

日本企業も、世界の人材の知見を如何に活用するか、既存の人事制度の枠を越えて考えるべきときだ。加えて、日本企業はセキュリティーに関する責任の所在を明確にするよう組織的な体制を整える必要がある。多くの日本企業では、外部からの脆弱性の指摘は、ITシステムの開発、運用を担う情報システム部門に最初に伝えられる。しかし、情報システム部門は高いセキュリティーのITシステムの開発を担務としているため、脆弱性の指摘は自身のミスを指摘されたことになり歓迎しない。場合によっては、握りつぶそうとさえする。これを避けるには、全社的なセキュリティー管理に責任を持つ独立した組織を作り、脆弱性に関する情報はそこに集約される体制にしなければならない。そうすれば、そのセキュリティー管理部門は、欧米企業と同様に、外部のホワイトハッカーに報奨金を支払ってでも脆弱性情報を収集しようとするだろう。日本企業の人材の能力活用方法も自ずと変化するに違いない。