ITエンジニアのための勉強会・イベントレポート情報メディア

バグを発見して生きていく
trend

バグを発見して生きていく"バグハンター"、専業にすることは可能なのか!?

2019.10.25

 
  • このエントリーをはてなブックマークに追加

「フリーランス」という身分に
魅力を感じるエンジニアは多いが…

エンジニアであれば、「フリーランス」という身分に魅力を感じるはずだ。自分の腕前ひとつで世の中を渡っていくという生き方をしてみたいと一度は思ったことがある人も多いだろう。

エンジニアにとって、自由な働き方は利点が多い。開発業務はどうしても長時間労働になりがちで、ワークライフバランスをとるのが難しい。しかし、自分で時間配分を決められるフリーランスであれば、忙しくても工夫次第でバランスをとることができる。さらに、仕事を選ぶことができる。通勤ラッシュと無縁の生活を送れる。通勤時間は不要。場所を転々として仕事をすることで、集中と弛緩のリズムを作りやすいなど、さまざまなメリットがある。

でもなあ、なのだ。デメリットもメリットと同じくらい多い。収入は不安定。社会的な信用を積み上げるのが難しく、住宅ローン、自動車ローンは審査を通らず、場合によってはクレジットカードすら拒否される。仕事の選び方によっては、新たなスキルも身につかない。今はよくても40歳を超えてからが不安になる。

このような利点と欠点を相殺していき、結局、多くのエンジニアが組織に属する生き方を選んでいることだろう。

Appleが本格的に始めた
「バグバウンティ制度」とは?

しかし、フリーランスへの窓は少しずつだが広くなってきている。特に、Appleが本格的にバグバウンティ制度を始めたことは、今後への大きな転換点になりそうだ。バグバウンティ(バグ報償金)制度というのは、テック企業が開発したプロダクトのバグを発見した場合に、企業に報告し、有益な情報だった場合は、その企業が既定の報償金を支払うというものだ。

特にセキュリティ関連のバグバウンティ制度は、Googleやマイクロソフト、Facebookといった主だったテック企業が軒並み実施している。セキュリティバグは、専任テスターだけでチェックするのはもはや不可能となっているため、広く世間に協力をしてもらおうというものだ。

Appleは、2016年からiOSについてバグバウンティ制度を始めていたが、今年、MacOS、iPadOS、WatchOS、tvOSとAppleのほぼすべての製品についてバグバウンティ制度を開始する。しかも、報奨金の最高額は150万ドル(1.6億円)と高額だ。バグを3つも発見すれば、一生遊んで暮らせるかもしれない。

Appleが高額の報奨金制度を始めたため、他の企業も追随し、報奨金額が上昇するのではないかと予想されている。Appleがなぜ報奨金を高額に設定したのかは明らかにされていないが、犯罪組織に対抗するためではないかとも言われている。

エンジニアがバグを発見した場合、人間なのでその労力に対する報酬を求めるのは当然のことだ。しかし、心ないエンジニアがその情報をダークウェブを通じて犯罪組織に売ってしまうケースもある。このようなバグ情報を利用して、ハッキングをされる、攻撃をされるなどすると、テック企業は莫大な損失を出すことになる。その損失や対策費用を考慮した高額の報奨金を用意すれば、発見者は犯罪組織ではなく、開発元企業に報告をしてくれるようになる。つまり、企業にとっては、高額の報奨金を出しても、犯罪組織に攻撃をされるよりも、ずっと安上がりになるというわけだ。

世界中にバグハントを仕事とする
バグハンターが登場

こうして、報奨金の額が上昇するとともに、世界中にバグハントを仕事とするバグハンターが登場している。

一体、バグハンターを職業にして食べていけるのだろうか。バグバウンティの世界最大級のポータルサイト「HackerOne」(https://www.hackerone.com)では、バグハンターの国別の収入ランキングを公開している。これはトップクラスのバグハンターの収入が、その国の労働者全員の給与の中央値の何倍になっているかを示したものだ。



(各国のトップクラスのバグハンターの収入を、その国の労働者全員の給与の中央値と比較したランキング。インド、アルゼンチンなど国際的に給与水準の低い国が上位に来るが、オーストラリア、カナダ、米国といった先進国でも給与中央値の2倍以上の収入がある)

トップはインドの16倍。以下、アルゼンチンの15.6倍、エジプトの8.1倍と続く。なかなかの収入だ。しかし、これらの国は平均給与そのものが世界水準に比べれば低い。先進国では、香港の7.6倍、ベルギーの3.7倍、オーストラリアの2.7倍と続く。カナダでも2.6倍、米国でも2.5倍ある。

これを「期待できる」と見るか、「その程度なのか」と見るかは難しいところだ。トップクラスのバグハンターは、スキルの高いエンジニアであることは間違いないので、テック企業に勤めれば、相応の報酬を得ることができるはずだ。それが、バグハンターでは、全労働者の平均の2.5倍しか稼げないと見ることもできる。ましてや中堅クラスのバグハンターの場合、平均給与を下回っている例も多いのではないかと想像できる。

9割の人は副業として
趣味と実益を兼ねてバグハンターに

しかし、専業のバグハンターはそう多くはない。バグハント作業に週に何時間を費やすかという問いには、70%近い人が20時間以下と答えている。これは1日3時間程度で、おそらくは副業としてバグハントをしているのだろう。週に40時間以上と答えた人は13.1%で、これは専業と考えていいから、専業バグハンターは1割程度であるようだ。つまり、9割の人は副業としてバグハンターをしている。

また、バグハンターをする理由を尋ねると、第1位は「技術を学ぶため」で、以下「挑戦するため」「楽しみのため」と続く。つまり、バグハンターの9割の人は、副業としてやっていて、自分のスキルを磨くためや楽しむために、趣味と実益を兼ねてやっているというのが実態のようだ。



(バグハンターの週のバグハント作業時間。20時間(日に3時間)以下の人が多く、副業にしている人が多いことが窺われる)

「本業とは異なるコミュニティに
参加できること」が魅力

実際にバグバウンティ制度に参加しているエンジニアに話を聞いたところ、面白い答えが返ってきた。「本業とは異なるコミュニティに参加できる」ことが楽しいというのだ。つまり、本業は組織に所属をしてしっかりと行い、プライベートな時間で本業とは異なる領域でのバグハントを副業として行う。自分のスキルの幅を広げることができ、その領域のイベントなどに参加をすれば、異なるコミュニティとの人脈もできていく。あくまでも副業なので、本業が忙しい時には休めばいいし、報酬の多い少ないも当面は気にする必要はない。



(バグハントをする理由を尋ねると、「技術を学ぶため」という回答がトップになる。子どもじみたハッカーのイメージにありがちな「自己顕示のため」と回答する人は少ない)

もし、状況が変わったら、副業のコミュニティ経由で転職することも可能になるかもしれない。もちろん、決断ができれば、専業バグハンターとして生きていく道を選んでもかまわない。

今後、バグバウンティ制度の報奨金が上がっていくのは間違いないと見ていいだろう。報奨金が上がっていけば、専業バグハンターが生きていく余地も増えていく。しかし、だからと言って、いきなり辞表を書いて、専業バグハンターに転身するのはリスクが大きい。

それよりは、副業としてバグハントをするというのが、今は現実的だ。それもお金を稼ぐことが目的ではなく、自分のスキルの幅を広げ、将来の選択肢を増やしておく手段として参加するのがいいように思う。まずは、どんな企業がバグバウンティ制度に参加をしているのかを調べて、HackerOneなどのポータルに登録をするところから始めてみていただきたい。あくまでも副業なので、費やす時間は週に1分でも、週に80時間でも、それはあなたの自由だ。

原稿:牧野武文(まきの・たけふみ)

テクノロジーと生活の関係を考えるITジャーナリスト。著書に「Macの知恵の実」「ゼロからわかるインドの数学」「Googleの正体」「論語なう」「街角スローガンから見た中国人民の常識」「レトロハッカーズ」「横井軍平伝」など。

バグを発見して生きていく

この記事はどうでしたか?

おすすめの記事

キャリアを考える

BACK TO TOP ∧

FOLLOW