先駆者に聞く、「バグ報奨金制度」のメリットと課題:セキュリティ・アディッショナルタイム(15)(1/3 ページ)
日本国内でも幾つかの企業が採用し始めている「脆弱性報奨金制度」(バグバウンティプログラム)。果たしてどれだけの効果があるのか。また課題は? 実際に制度を運営する3社に聞いた。
コードのバグはゼロにできない。従って、脆弱(ぜいじゃく)性をゼロにすることもまた不可能だ。設計や実装、各フェーズで脆弱性を作り込まないよう留意し、脆弱性検査を行って修正するというプロセスを繰り返し、できる限り減らすことはできても、「ゼロ」にするのは難しい。その中で、どうすれば、より安全でより良いサービスを実現できるだろうか――その解を模索する企業の間で広がり始めているのが、「脆弱性報奨金制度」だ。
脆弱性報奨金制度は、「バグバウンティプログラム」とも呼ばれる。外部のリサーチャーに自社サービスの脆弱性を報告してもらい、修正後に公表する。そして報告者には、脆弱性の深刻さや影響度に応じて報奨金を支払うという仕組みだ。OSS(オープンソースソフトウェア)の世界では、より多くの目がコードを見れば見るほどバグは少なくなるといわれる。同様に、より多くの目で脆弱性をチェックしてもらうことで、サービスの品質を高めることが最大の狙いだ。
米国ではグーグルやマイクロソフトといった大手IT企業やMozillaのようなオープンソースプロジェクトが実施してきたが、最近ではユナイテッド航空のように、IT以外の企業の中にも脆弱性情報を受け付ける窓口を設ける企業が現れ始めた。多くのユーザーがあり、セキュリティ研究者の注目も集めるグーグルの場合、2016年に報告された脆弱性に対し支払った報奨金の総額は300万ドルを超えたという。
一方、日本国内ではどうだろうか。国内では、官民連携による「情報セキュリティ早期警戒パートナーシップ」に基づく脆弱性届け出が中心で、報奨金を用意し、直接報告を受け付ける企業はまだ少ない。その背景には、透明性を重視して脆弱性の存在を明らかにする企業よりも、「何もなかったことにする」方が表面的には脆弱性の数が少なく見え、顧客に評価されるといった風潮が一因としてある。しかし、知らぬ振りをしていれば脆弱性が解消されるわけではない。むしろ、公表されていない脆弱性が攻撃者に悪用される恐れもある。
こうしたリスクを踏まえ、真の意味で顧客の保護を考える一部の企業では、既に脆弱性報奨金制度を設け、運用し始めている。本稿では、脆弱性報奨金制度の“先駆者“であるサイボウズ、ピクシブ、LINEの担当者に、同制度によって得られた成果と課題、今後の取り組みについて尋ねた。
三社三様の脆弱性報奨金制度
脆弱性報奨金制度の在り方は企業によってさまざまだ。
グループウェアを中心に提供するサイボウズは、国内でも最も早期に脆弱性報奨金制度を開始した企業だ。だが、先駆者ということは「お手本がない」ということでもある。サイボウズの伊藤彰嗣氏は「いろんな組織や人と話をしながら、社内で脆弱性を評価するための標準的な手法や開発プロセスへの取り込みを徐々に徐々に行っていったので、本当に時間がかかりました」と振り返る。
サイボウズは2013年11月に、情報セキュリティ競技会「SECCON」と連携して2週間の期間限定で脆弱性発見コンテスト「cybozu.com Security Challenge」を実施した。この経験から得られたノウハウを基に制度を整備し、2014年6月から正式に脆弱性報奨金制度を開始。2015年には208件の報告があり、うち基準に照らして脆弱性として認定したものは111件。支払った報奨金は総額約450万円に上ったそうだ。
関連リンク
コミュニケーションアプリでおなじみのLINEは、2016年6月から「LINE Security Bug Bounty Program」を実施している。同社もまず2015年8月から9月にかけての期間限定で試験的に報奨金制度を実施し、そこで得られたフィードバックを基に利用規約などを整備した上で、正式にプログラムをスタートした。開始から約7カ月たった12月末までに97件の脆弱性報告があり、認定された13件に対して総額2万7000ドルの報奨金を支払ったという。日本のみならずタイや台湾、チェコなど世界各国から報告があったことが特徴だ。
LINEセキュリティ室の李明宰氏は、「いきなり常時運営するのは難しいだろうと判断し、一度期間限定でプログラムを実施し、それを基に改善してから運営することにしました。社内にバグバウンティ経験者がいたわけでもなかったので、準備には半年以上かかりました。報告システムの開発や利用規約の整備、部門間の調整など、バグバウンティプログラムではやることが多いですね」と述べる。
一方、イラストを中心としたSNSを提供しているピクシブは、上記2社とは異なり、自社で仕組みを用意するのではなく、スプラウトが運営しているバグバウンティプラットフォーム「BugBounty.jp」を活用する形で、2016年4月から報奨金制度を開始した。「システムを作るところは気にしなくてよかったので、まず小さく、試しにやってみようというつもりで始めることができました」(ピクシブ エンジニア 高山温氏)。
関連リンク
「自社のテストだけでは限界」が制度開始のきっかけ
いずれの企業も、それまで何らかの形でセキュリティを高める取り組みを行っていた。だが、対策を進めることによりかえって足りない部分も見えてきたようだ。脆弱性報奨金制度は、既存の施策を補い、より高い品質を実現することが目的だ。
ピクシブでは、セキュリティ検査を専門にする部隊を設けるのではなく、各エンジニアへのセキュリティに関する啓蒙活動や、ツールやフレームワークによって一定のセキュリティレベルを担保する仕組み作りに力を注いできた。
だが、ピクシブのエンジニア、田中集氏は「XSS(クロスサイトスクリプティング)やSQLインジェクションをはじめ、主立った脆弱性への対策は一通りやっていたつもりでしたが、たまにエスケープの方法が間違っていることがあるなど、徹底できているとまでは断言できない状態でした」と振り返る。社内全体に「セキュリティは重要だ」という意識が高まってきたことに加え、リスト型攻撃をはじめとするサイバー攻撃の増加もあり、脆弱性報奨金制度を開始することにした。
とはいえ、「全て自分たちでやるとなると、制度の整備や運用が大変ではないか」という懸念もあった。そんなとき偶然、ピクシブの前代表片桐孝憲氏が、スプラウトの知人からBugBounty.jpについて話を聞いたことをきっかけに、「このサービスを利用すれば現実的に運用できるのではないか」と考え、採用することにしたという。
Copyright © ITmedia, Inc. All Rights Reserved.