検索
連載

すご腕バグハンターたちが報奨金制度運営者と本音トーク「@ITセキュリティセミナー(東京)」レポート2016(2/4 ページ)

@IT編集部は2016年2月26日、東京青山にて「@ITセキュリティセミナー」を開催した。本稿ではそのダイジェスト(後編)をお届けする。

Share
Tweet
LINE
Hatena

ファイル暗号化による漏えいを前提とした対策


アルプスシステムインテグレーション セキュリティ営業部セキュリティ営業1課 グループリーダー 濱田龍哉氏

 続く講演「漏えい防止だけじゃもう足りない! 流出した情報も安全に守る、最新情報漏えい対策」では、アルプスシステムインテグレーションの濱田龍哉氏が、データ流出・漏えいを前提とした対策を紹介した。

 濱田氏は日本年金機構での情報漏えい事件を例に挙げ、「重要なネットワークを分断しても、社員は業務を楽にこなす方法を探して対策をかいくぐる。標的型攻撃を完全に防ぐことは不可能」と指摘。「自動車では事故を前提に“自賠責保険”などに入るが、ITも流出・漏えいを前提にした対策を考えるべきだ」と強調した。

 その対策として濱田氏は同社の「InterSafe IRM」を紹介した。InterSafe IRMはデータの自動暗号化ソフト。「ファイル保存時に自動的に暗号化し、拡張子も変更しないため、ユーザーの使い勝手は変わらない。しかも、復号は権限が与えられたユーザーのみが実行できるので、煩雑なパスワード管理もいらない。情報を守りながら、業務効率に影響なくデータ活用する環境を提供することを目指している」(濱田氏)。


流出・漏えいを前提にデータを守る「InterSafe IRM」

バングハンターと「バグ報奨金制度」常設企業が本音トーク

 近年、自社サービスの脆弱性を発見した人に報奨金を支払うバウンティ制度が複数企業で実施されている。セッション「凄腕のバグハンター、そろいました〜脆弱性、見つける人と見つけられる人の間」では、@IT編集部の高橋睦美をモデレーターに、2014年から脆弱性報奨金制度を常設しているサイボウズ 伊藤彰嗣氏と、バグハンターを代表して東内裕二氏、西村宗晃氏、平澤蓮氏の3人が登壇し、脆弱性を“報告される側”と“報告する側”の立場で熱いトークを繰り広げた。

報告する側/される側、双方の率直な意見

 そもそも、こうした制度において双方間でトラブルは起こらないのだろうか。西村氏は「指摘する側はどうしても“上から目線”になってしまいがち。一方で指摘される側も、報告を無視したり自動応答メールでそっけない返事をしたり、企業ポリシーもあるとは思うが、修正するまで脆弱性と認めない態度を貫いたりと、バグハンター側を“イラつかせる”ことがある」とストレートに述べた。

 これに対して伊藤氏は、「進捗の問い合わせは確かによくある。脆弱性の中にはすぐに認定できないものもあるのだが、報告者からすると『無視されている』『コミュニケーションがうまく取れない』と感じているのかもしれない」と説明した上で、「報告を受ける企業が進捗や認定可否についてきちんと返事するのは義務だと思う。報告してもらった方に納得してもらうための情報を提供する。そんな丁寧なコミュニケーションが大切だと感じている」と述べた。


(左から)@IT編集部の高橋睦美、サイボウズ グローバル開発本部 品質保証部 伊藤彰嗣氏

 もう1つ、バグハンターの悩みに「脆弱性探しでどこまで踏み込んで報告すべきか判断できず、不安になることがある」と平澤氏は言う。西村氏もこれに同意し「例えばディレクトリトラバーサルの実証手段としてetc/passwdを取ろうとするとき、脆弱性報告として受け入れてくれる企業もあれば、不正アクセスとして法的措置に出る企業もある」と述べ、東内氏も同様に「どこまでやったらいいのか判断が難しく、寸止めすることが多い。だが、海外の企業では『データを抜き出せるところまでやって証明してから報告しろ』と相手から言われることもある」と笑った。


(左から)NTTコムセキュリティ 東内裕二氏、週末バグハンター 西村宗晃氏、ゲヒルン 技術開発部 分析局 平澤蓮氏

 これについて伊藤氏は「サイボウズではガイドラインを設置し、ここまでやってもいいという基準を出しているが、読まない人も多くて、攻撃リクエストをせっせと送ってくる人もいる。そこは互いに協力して解決していくべき部分かもしれない」と返した。

双方にとっての報奨金制度のメリット

 報奨金制度を設けることで、企業側にメリットはあるのだろうか。伊藤氏は、「報奨金制度にはメリットがある」と即答する。「弊社ではこの制度を常設してから3年目を迎えるが、社内の診断では発見できなかった脆弱性が、2014年は158件、2015年には約150件、本制度を通じて報告されている。また、報告をベースに開発段階からバグをなくすための参照資料を作成し、月1の製品開発リーダーとのミーティングで共有している。その結果、簡単に見つかるような脆弱性の数は明らかに減った。サービスの品質向上だけでなく、攻撃コストが高くなって攻撃者のやる気を削ぐ効果もある。メリットは大きい」(伊藤氏)。

 では、報奨金制度についてバグハンターはどう感じているのだろうか。東内氏は「報奨金が出るようになったのはここ数年なので、その前から報告している側としては、あってもなくてもいいと思っている」と述べ、平澤氏も「セキュリティに貢献することがうれしい、脆弱性を発見することが純粋に楽しいという人も多い」と付け加えた。

 一方で、報奨金がもらえることが当たり前にはなりつつも、その価格に不満を感じて、脆弱性の情報を闇市場に売る人もいる。特に発展途上国などでは、闇市場に売れば“一生楽に暮らせるだけの”金額を得られるため、バグハンターが“ダークサイド”に落ちてしまう動機がある。

 この問題は企業側も深刻に捉えている。「例えばGoogleでは、闇市場以上の金額で買い取ることで情報が闇に流れるのを食い止めている」と、東内氏は紹介する。また、西村氏も「報奨金制度にすることで先進国の人たちの興味と参加が促され、善意のハッカーの数が増える。脆弱性情報が闇に流れるのを防ぐ対策として、Webアプリケーション周辺では報奨金制度を推進しているという話も聞く」と述べた。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る