検索
ニュース

サイボウズが脆弱性発見コンテストを実施したワケ脆弱性ハンティングの波は広がるか

サイボウズは2013年11月11日から同月25日にかけての2週間に渡って、脆弱性発見コンテスト「cybozu.com Security Challenge」を実施した。「外からの知見を得て、サービスの品質向上につなげたい」というのがその動機だ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 「外からの知見を得て、サービスの品質向上につなげていきたい――」(サイボウズ グローバル開発本部 品質保証部 伊藤彰嗣氏)。

 サイボウズは2013年11月11日から同月25日にかけての2週間に渡って、脆弱性発見コンテスト「cybozu.com Security Challenge」を実施した。参加者は、同社のPaaSサービス「kintone」と同等の検証用環境にログインして、未知の脆弱性がないかどうかを検査。脆弱性として認定されたものについて、その深刻度などに応じてサイボウズが賞金を支払う試みだ。賞金配分は、CVSS(Common Vulnerability Scoring System)v2に基づいて決定される。

 賞金総額300万円のこのコンテストには、95名が参加した。中には、名前を見ただけで「おっ」と思わされる参加者もいたという。コンテスト実施に至るまでの詳細は、11月30日、12月1日にかけて行われる「SECCON 2013 北陸大会(CTF富山予選)」で説明される他、どのようにしてどんな脆弱性が発見されたかについては、2014年3月に行われる全国大会においても紹介される予定だ。

「社内の力だけでは限界」、外部の知見を活用


サイボウズ グローバル開発本部 品質保証部 伊藤彰嗣氏

 日本の企業においては、第三者が脆弱性を指摘する行為は必ずしも歓迎されず、時にはタブー視されてきた。にもかかわらず、報奨金を用意してまでサイボウズが脆弱性を探してもらおうとするのはなぜか。

 伊藤氏はその理由を、「社内の力だけでは限界がある。外部の有識者の力を借りて、サービスの品質を高めたいから」と説明した。

 もちろん、開発する側、検査する側ともに、セキュアコーティングやレビュー、外部セキュリティ企業による監査などを通じて、セキュリティ要件を満たすよう務めてきたという。加えて、CTFコンテスト「SECCON」の実行委員長も務めるサイボウズ・ラボの竹迫良範氏によると、擬似的な環境でWebアプリケーションの脆弱性を見つけ出すトレーニングなども実施し、「セキュリティの重要性を理解してもらう取り組みを進めてきた」(竹迫氏)。


SECCON 2013 実行委員長を務めるサイボウズ・ラボの竹迫良範氏

 だがそれでも、「もちろんエンジニアを信頼しているが、100%はない」と伊藤氏。もし攻撃者に見付かれば即インシデントにつながるような問題を、確実に見付けていきたいという。

 加えて「Webアプリケーションは日々進化している。いままでセキュアだったからといってこれからも脆弱ではないとはいえない。そうした部分に、外部からの目を生かしていきたい」(伊藤氏)。

 今回の取り組みを機に、早速、コンテスト参加者から賞金範囲外のサービスに存在する脆弱性についての指摘もあった。

 同社は新たに、「報告を受け入れ、感謝を表明する仕組みとして」(伊藤氏)、脆弱性報告者への謝辞のページを用意。「(外部の有識者との間で)こうしたいいサイクルを続けていきたい。みんなが情報を出すようになると、セキュリティに対する意識も変わっていくかもしれない」(同氏)という。

脆弱性ハンティングの波は広がるか

 開催に当たっては、「本番環境に影響を与えない」ことを大前提にしつつ、社内の各部署から協力を得た。技術者だけでなく法務や経理担当者なども含め、総勢24名体制のチームでプロジェクトを進め、脆弱性情報ハンドリングポリシーなどを整備した上で実施にこぎ着けたという。

 「決して思いつきではなく、2011年にCSIRT(Cy-SIRT)を作った当時から暖めてきた企画。窓口などの体制をしっかり整えてから実施しようと考えてきた」(伊藤氏)。

 11月8日に開催された「Cybozu.com Conference 2013」に併せて開催した記者説明会において、同社代表取締役社長の青野慶久氏は、cybozu.com Security Challengeについて「日本のクラウド企業としては初の試み。社会のインフラを目指す上で、組織の壁を越えたチームワークを作り、積極的に外部の声を取り込んでいきたい」と、この取り組みに対する意気込みを語っていた。

 背景には、2013年に発生したブログサイトの改ざんに加え、過去の苦い経験もあるという。かつて、同社サービスに存在した脆弱性を、情報を表に出さずに修正したところ、「闇改修」と指摘されたことがあった。こうした経験を踏まえ、「隠してもいいことはない。誠実にサービスを提供していくことが大事だ」と考えるに至ったという。

 GoogleやMicrosoft、Facebookといった欧米の大手IT企業では、脆弱性発見者への報償制度を設けており、その動きは政府機関などにも広がりつつある。日本でもサイボウズの取り組みを機に、ミクシィやpaperboy&co.が脆弱性報告窓口を設けるなど、後に続く企業が現れ始めた。「日本でもセキュリティに対する意識を変えていきたい」という伊藤氏の言葉が、少しずつ現実のものになり始めているようだ。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  6. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  7. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  8. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  9. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  10. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
ページトップに戻る