サイボウズが脆弱性発見コンテストを実施したワケ:脆弱性ハンティングの波は広がるか
サイボウズは2013年11月11日から同月25日にかけての2週間に渡って、脆弱性発見コンテスト「cybozu.com Security Challenge」を実施した。「外からの知見を得て、サービスの品質向上につなげたい」というのがその動機だ。
「外からの知見を得て、サービスの品質向上につなげていきたい――」(サイボウズ グローバル開発本部 品質保証部 伊藤彰嗣氏)。
サイボウズは2013年11月11日から同月25日にかけての2週間に渡って、脆弱性発見コンテスト「cybozu.com Security Challenge」を実施した。参加者は、同社のPaaSサービス「kintone」と同等の検証用環境にログインして、未知の脆弱性がないかどうかを検査。脆弱性として認定されたものについて、その深刻度などに応じてサイボウズが賞金を支払う試みだ。賞金配分は、CVSS(Common Vulnerability Scoring System)v2に基づいて決定される。
賞金総額300万円のこのコンテストには、95名が参加した。中には、名前を見ただけで「おっ」と思わされる参加者もいたという。コンテスト実施に至るまでの詳細は、11月30日、12月1日にかけて行われる「SECCON 2013 北陸大会(CTF富山予選)」で説明される他、どのようにしてどんな脆弱性が発見されたかについては、2014年3月に行われる全国大会においても紹介される予定だ。
「社内の力だけでは限界」、外部の知見を活用
日本の企業においては、第三者が脆弱性を指摘する行為は必ずしも歓迎されず、時にはタブー視されてきた。にもかかわらず、報奨金を用意してまでサイボウズが脆弱性を探してもらおうとするのはなぜか。
伊藤氏はその理由を、「社内の力だけでは限界がある。外部の有識者の力を借りて、サービスの品質を高めたいから」と説明した。
もちろん、開発する側、検査する側ともに、セキュアコーティングやレビュー、外部セキュリティ企業による監査などを通じて、セキュリティ要件を満たすよう務めてきたという。加えて、CTFコンテスト「SECCON」の実行委員長も務めるサイボウズ・ラボの竹迫良範氏によると、擬似的な環境でWebアプリケーションの脆弱性を見つけ出すトレーニングなども実施し、「セキュリティの重要性を理解してもらう取り組みを進めてきた」(竹迫氏)。
だがそれでも、「もちろんエンジニアを信頼しているが、100%はない」と伊藤氏。もし攻撃者に見付かれば即インシデントにつながるような問題を、確実に見付けていきたいという。
加えて「Webアプリケーションは日々進化している。いままでセキュアだったからといってこれからも脆弱ではないとはいえない。そうした部分に、外部からの目を生かしていきたい」(伊藤氏)。
今回の取り組みを機に、早速、コンテスト参加者から賞金範囲外のサービスに存在する脆弱性についての指摘もあった。
同社は新たに、「報告を受け入れ、感謝を表明する仕組みとして」(伊藤氏)、脆弱性報告者への謝辞のページを用意。「(外部の有識者との間で)こうしたいいサイクルを続けていきたい。みんなが情報を出すようになると、セキュリティに対する意識も変わっていくかもしれない」(同氏)という。
脆弱性ハンティングの波は広がるか
開催に当たっては、「本番環境に影響を与えない」ことを大前提にしつつ、社内の各部署から協力を得た。技術者だけでなく法務や経理担当者なども含め、総勢24名体制のチームでプロジェクトを進め、脆弱性情報ハンドリングポリシーなどを整備した上で実施にこぎ着けたという。
「決して思いつきではなく、2011年にCSIRT(Cy-SIRT)を作った当時から暖めてきた企画。窓口などの体制をしっかり整えてから実施しようと考えてきた」(伊藤氏)。
11月8日に開催された「Cybozu.com Conference 2013」に併せて開催した記者説明会において、同社代表取締役社長の青野慶久氏は、cybozu.com Security Challengeについて「日本のクラウド企業としては初の試み。社会のインフラを目指す上で、組織の壁を越えたチームワークを作り、積極的に外部の声を取り込んでいきたい」と、この取り組みに対する意気込みを語っていた。
背景には、2013年に発生したブログサイトの改ざんに加え、過去の苦い経験もあるという。かつて、同社サービスに存在した脆弱性を、情報を表に出さずに修正したところ、「闇改修」と指摘されたことがあった。こうした経験を踏まえ、「隠してもいいことはない。誠実にサービスを提供していくことが大事だ」と考えるに至ったという。
GoogleやMicrosoft、Facebookといった欧米の大手IT企業では、脆弱性発見者への報償制度を設けており、その動きは政府機関などにも広がりつつある。日本でもサイボウズの取り組みを機に、ミクシィやpaperboy&co.が脆弱性報告窓口を設けるなど、後に続く企業が現れ始めた。「日本でもセキュリティに対する意識を変えていきたい」という伊藤氏の言葉が、少しずつ現実のものになり始めているようだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- サイボウズ、商用サービスを対象とした脆弱性発見コンテストを開催
サイボウズは2013年9月24日、同社が提供しているクラウドサービスの品質向上を目的とした脆弱性発見コンテスト「cybozu.com Security Challenge」を11月に開催することを発表した。 - ミクシィが「脆弱性報告制度」開始、報奨金も用意
- スマホを攻撃→賞金ゲット、脆弱性発見コンテスト「Mobile Pwn2Own」日本初開催