制度をうまく運用していくには、開発部門はもちろん、社内の各部署の理解も欠かせない。
「メールで飛んできた報告を見るべき人は誰かを決め、毎週の業務の中で確認し、各チームに『こういう報告が来たので対応をお願いします』と依頼し、直したら直したでそれをシステムに反映するといったフローを回さなくてはなりません。やってみて初めて、思ったよりもいろいろな業務フローが発生するんだなという気付きがありました」と、ピクシブの高山氏は述べる。
報告を受けた開発部門の反響はどうだろうか。ピクシブの田中氏は、「確かに忙しい時期にはどうしても時間が割けず、『届け出への対応がもう少し先になってしまいます』と言われることもあります。しかし、制度に対してポジティブな声も多く寄せられます。開発者は割と自信を持って『自分の書いたコードは大丈夫なはずだ』と思っているのですが、そこに報告をもらうと、『ああ、こういう問題もあるんだな』と気付きが得られ、セキュリティ意識が高まる効果があります。その結果、ノウハウの蓄積にもつながっていますね」と明かす。
サイボウズの伊藤氏の場合は、「私が一番相談したのは経理の人」だそうだ。「そもそも報奨金ってどう支払えばよいのか、寄付にするならどうすればいいのか、国際送金は……など、疑問点がたくさんあって、毎月協力してもらっています。予算を立てるときもそうですね。こういった方々が、報奨金制度を支える見えない功労者です」(同氏)。
確かに予算の立て方は、会社として制度を運営する場合に説明に苦労する部分だろう。ピクシブの場合、送金手続きの部分はBugBounty.jpに任せられるが、報償金額の設定は自社でやらなければならない。「月にこのぐらいの予算でやろうと上に相談し、小さく始めてみて、実際にその範囲で回していけそうかどうかを確認してから本格的に始め、金額を上げました。ただ、立て続けに大きめの脆弱性が来ると予算を超えてしまう恐れもあります。だから『基本は超えないはずですが、たまに超えるかもしれません』と言っています(笑)」(高山氏)。
さらに、実際に制度を開始してみて、「需要と供給の関係」も見えてきたという。スモールスタートで回し始めたことにより、「このくらいの金額感ならこのくらいの報告があるんだなというのが分かってきました」と高山氏は明かす。
一方LINEの李氏は、広報担当者の協力に加え、法務担当者の助けが大きいと述べる。「LINEはグローバルに展開していて、タイや台湾などさまざまな国から報告を受けることも少なくありません。利用規約の内容や税制などとの関係で、法務や経理担当の助けを得ています」(李氏)。
という風にさまざまな課題はあるが、脆弱性報奨金制度によって、社内で実施してきたレビューやセキュリティ検査では見つけられなかった脆弱性を別の角度から指摘してもらうことで、品質向上につながるという効果は各社とも実感している。
「脆弱性の報告によって、僕らがいままで知らなかった問題に気付けるのはすごくうれしいこと。ピクシブではその知見を既存の自動チェックの仕組みなどに反映し、よりセキュリティを強化していけるといいなと考えています」(田中氏)
「LINEとしては、バグバウンティプログラムはユーザーを守るためのプログラムだと思っています。しかもコストパフォーマンスが高いですし、その点は皆に同意してもらえると思います。今後も課題を改善しながら長く続けたいと思っています」(李氏)。今後は、プログラム対象のOSやサービスを拡大することを検討しているそうだ。
サイボウズ 伊藤氏も、「脆弱性報奨金制度が、製品の品質を上げるという観点で一定以上の効果を上げているのは、数値から見ても明らかだし、PRの観点からも好意的に受け取られているという声をいただいています」と述べる。加えて「届け出を通じて、OWASP AppSecやBlack Hat Briefingといったさまざまなセキュリティカンファレンスで発表された最新の攻撃手法に関する知見が得られる。窓口を広く開けておくことによって、そうした情報を手に入れる機会が増える」という。また同時に課題として、「報奨金制度を継続できるよう、必要なスキルを明確化し、それに沿って人材も増やしていかなければいけない」とも考えているそうだ。
報奨金制度を設け、今までになかったテスト手法で不具合を見つけてもらう以上、より多くの脆弱性が見つかることになる(そして、修正される)。ただ中には、公になった脆弱性の数だけを見て「JVN(Japan Vulnerability Notes)からいっぱい脆弱性情報が流れてくるから、怖くて使えない」と反応されることもあるそうだ。
この不安感を解消するには、「この制度は脆弱性を減らすための取り組みであり、確かに効果があるということ。採用している企業が増えており、ひいては利用者にとっても利益になること」について、企業とユーザー、双方の理解が広がっていくことが重要だ。同時に、ピクシブやサイボウズ、LINEのように、経営トップ層の脆弱性報奨金制度に対する理解も欠かせないだろう。
2017年1月28日、29日に行われたCTF(Capture The Flag)大会「SECCON 2016 決勝大会」のスペシャルプログラムの1つとして、LINEの提供で「脆弱性報告珍プレー好プレー in LINE Security Bug Bounty Program」が行われた。脆弱性報告者、あるいは報告を考える人に、LINEの場合「どんな内容ならば報奨金が提供されるか」を知ってもらい、より適切な報告につなげてもらうことを狙った企画だ。
説明を行ったLINEの中村智史氏によると、せっかくの報告の中にも、単なる表示乱れのようなセキュリティ上のリスクにつながらないものや、具体的な問題に踏み込まず「この仕様は何だか悪い予感がする」と抽象的な指摘にとどまる報告もあるという。残念ながらこうした指摘は、カスタマーサポートにつないで対応してもらうことになり、報奨金の対象にはなりにくい。また、「パスワードが短すぎる」「端末本体を盗まれたら悪用が可能である」といった事柄が報告されることもあるが、これらはLINE Security Bug Bounty Programのサイトに「報奨金の対象にならない項目」として明示されている。さらには、ただスクリーンショットの画像だけが送られてきて、情報不足で何がどう問題なのかつかめない報告もあったそうだ。
こうした報告例を紹介した上で中村氏は、報告をスムーズに処理し、報奨金支払いにつなげてもらうためにも、「『情報を整理し、問題の再現手順をしっかり記述する』『どのようなリスクがあるか、論理的に脅威を解説する』といったポイントを抑えてもらえば、対応が早くなる」と説明した。また可能であれば、対策にも触れてほしいという。
「もしこれから脆弱性報奨金制度で報告しようという人がいれば、再現手順、脅威の解説、対策方法の3点セットを抑えると、より早く報奨金を提供できると思います。われわれも一生懸命対応します」(中村氏)
Copyright © ITmedia, Inc. All Rights Reserved.