特別講演では、@IT編集部の高橋睦美をモデレータに、サイボウズ グローバル開発本部 品質保証部 伊藤彰嗣氏、NTTコムセキュリティ 東内裕二氏、ゲヒルン 技術開発部 分析局 平澤蓮氏、“週末バグハンター” 西村宗晃氏の4人が、「凄腕のバグハンター、そろいました ─ バグハンターにお世話にならないWebサイトを作るコツは?」と題したパネルディスカッションを行った。
東内氏、平澤氏、西村氏は、普段の業務で脆弱性診断(ペネトレーションテスト)を提供しつつ、業務外でもバグハンターとしてWebサイトなどの脆弱性発見に心血を注ぐエンジニアだ。また、伊藤氏はサイボウズでバグハンターたちに向けた報奨金制度を運営している。
そんな一同がそろったセッション冒頭で、高橋氏はいきなり「パネラーとの事前ミーティングで、『バグハンターにお世話にならない=脆弱性のないWebサイトを作るのは無理である』という結論に達した」と述べ、「バグハンターとうまくお付き合いしつつ、より安全なWebサイトを作るコツは」とセッションタイトルを改めて“おわびと訂正”を表した。
第1の議題は、「報奨金を目指す“バグハント”とWeb運営者の依頼で実施する“脆弱性診断”(ペネトレーションテスト)との違い」だ。これに対してバグハンターたちは、「バグハントは自分が見たく、かつ誰も見ないところ」に存在する脆弱性を探すもので、自分の興味分野や得意分野に特化して、1本釣りのようにバグを見つけるものだと結論付けた。一方の脆弱性診断は、依頼を受けた範囲内で網羅的な検査を行うもので、既存の脆弱性が含まれていないかを確認する点などが、バグハントとは大きく異なるという。
これを受け伊藤氏は、「サイボウズでは、内部で実施するテスト、外部に依頼するテスト、そして報奨金制度を通じたバグハントの3つを実施していますが、それらは重複してよいと考えています」と述べる。これに高橋氏が「報奨金制度だけを実施すれば、素早く多くの脆弱性が発見されるのでは?」と問いかけると、東内氏が「海外では、それをやろうとしてたった1週間で破綻した例があります」と答えた。
また、西村氏は、報奨金制度の課題について「報奨金を出すか出さないかという判断が難しく、運営側が説明責任が果たせないと、SNSでさらされてしまう恐れもあります」と述べ、伊藤氏も、「報奨金制度を開始してからそうしたトラブルは経験しており、3年間で600件の難しい問い合わせに回答しました」と明らかにした。伊藤氏は、「脆弱性の認定・否認のプロセスを見える化し、公開する体制が必要です」と述べ、報奨金制度においては、運用のノウハウを蓄積することが重要であるとした。
さらに、西村氏が「サイボウズのようにバグハンター向けに検証環境が用意されているケースがありますが、間違って本番環境に模擬攻撃を仕掛けてしまうことはありませんか?」と問いかけると、東内氏は「割りとよく間違えます」と即答。伊藤氏も、「それはあるものとして運営していますし、実際に検証と思われるトラフィックは確認しています」と述べた。ただし、そうした攻撃トラフィックのデータも貴重な資産であるという。
「バグハンターとしてやりにくいWebサイトは?」というテーマについては、平澤氏が「報告しても無視されるなど、反応がないサイトは困ります。問い合わせ先もセキュリティポリシーも公開されていないサイトは、脆弱性を発見しても見なかったことにしてしまいます」と苦言を呈した。西村氏も、ある海外ベンダーを取り上げて「対応すると言いつつ、1年以上放置されていた例もありました。報告をむげにすると、脆弱性を暴露するバグハンターもいますから、ユーザーもベンダーも得しないはずなのですが」と続けた。
これに対して伊藤氏は、「それはベンダーも悩むところです。運営側が脆弱性として認めても、開発側に修正を強制できないケースが多々あります。脆弱性のポリシーを定めて公開することが重要ですね」と返答した。
最後に、メインテーマである「安全なWebサイトの作り方」について、平澤氏は「外部から情報を受け取り、修正できる体制を整えることは、重要なポイントです」と回答。これに合わせて高橋氏も、「最近は“DevOps”の考え方が流行していますが、これにセキュリティを組み合わせた“DevSecOps”というアイデアも登場しています。より良いものを開発するために、開発、セキュリティ、運用の各プロセスを近づける取り組みが重要ですね」とまとめた。
Copyright © ITmedia, Inc. All Rights Reserved.