2016年3月14日
2016年3月14日
2016年3月14日(月)
脆弱性報奨金制度を支えるサイボウズの取り組み
サイボウズ株式会社 (サイボウズ株式会社 CSIRT 事務局)
伊藤 彰嗣
製品・サービスのセキュリティ品質を高める。
言葉にすると簡単ですが、具体的な活動に落とし込むのはなかなか大変です。
サイボウズは 2010 年ごろから、自社クラウドサービス cybozu.com を守るためのチームとしてCSIRT を構築し、製品・サービスのセキュリティ品質を向上させる様々な施策を行ってきました。中でも自社の脆弱性情報を発見いただいた有識者の方に報奨金をお支払いする制度である「脆弱性報奨金制度」について、多くの方から注目いただいています。
サイボウズ脆弱性報奨金制度
http://cybozu.co.jp/company/security/bug-bounty/
今日は本制度を支える仕組みについて紹介します。
[脆弱性情報を取り扱う専門の窓口を設ける]
「脆弱性報奨金制度」を開始すると、多数の脆弱性情報が外部から寄せられるようになります。
サイボウズの場合、脆弱性報奨金制度を開始する前に比べて、15 倍以上の脆弱性情報が寄せられるようになりました。
制度を安定して運用するには、寄せられる多数の脆弱性情報を適切に取り扱えるようにすることが重要です。サイボウズでは 2015 年から外部から寄せられた脆弱性情報を受け付け、評価するための専門のチームを設け、より多数の報告を処理できるようにしました。
専門チームの対応力はまだまだ十分ではなく、評価するためにお時間をいただいている状況ですが、2016 年は、報告内容をより短期間で評価できるよう、評価チームの体制を強化しました。
[脆弱性情報の取り扱いプロセスを見える化する]
サイボウズでは脆弱性を受け付けてから改修し、情報を公開するまでのプロセスを、「脆弱性情報ハンドリングポリシー」として文書化し、外部に公表しています。
脆弱性情報ハンドリングポリシー
http://www.slideshare.net/slideshow/embed_code/30074325
このような文書を公開することで、脆弱性情報の取り扱いプロセスを見える化することができました。今後は脆弱性情報を報告いただいた方に、報告の取り扱い状況を可視化する取り組みに力を入れていく予定です。
[安心して検証できる環境を提供する]
もう1つサイボウズが力を入れているのは、外部の有識者の方が安心して検証できる環境を整えることです。自社のクラウドサービス基盤と同一構成のシステムを、本番環境とは別のデータセンターで構築し、希望する方に無償で提供する「検証環境提供プログラム」を運営しています。
脆弱性検証環境提供プログラムについて
http://cybozu.co.jp/securityprogram.html
このような環境を提供することで、本番の環境では実施することが難しい SQL インジェクションなどの検査を有識者の方が安心して実施することができます。また、オンプレミス製品についても、脆弱性検証専用のライセンスを用意するとともに、利用規約の一部を緩和して検証しやすくしています。
[終わりに]
「脆弱性報奨金制度」 は外部の有識者の方の力を借りて、自社のバグ発見力を高める取り組みです。本制度は、有識者の皆様、コミュニティの皆様の協力なくして運営することはできません。様々なアドバイス、ご意見をいただきながらより良い制度にしていきたいと思っています。今後ともどうぞよろしくお願いいたします。
※ 脆弱性(ぜいじゃくせい)とは、ソフトウェアのセキュリティ上の欠陥のことです。攻撃により、意図しない動作を引き起こした結果、情報の改ざんや漏えい、システムの停止を引き起こす可能性があります。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。