今年6月から、製品/サービスの脆弱性発見者に対する「報奨金制度」を開始したサイボウズ(関連記事)。ほかにも脆弱性発見コンテスト「cybozu.com Security Challenge」を開催するなど(関連記事)、セキュリティ強化の取り組みを精力的に展開し、社外へのアピールにもつなげている。
では、こうした“外から見える活動”の裏側、社内的な取り組みはどうなっているのだろうか。7月11日に開催された説明会では、同社のCSIRT(インシデント緊急対策チーム)である「Cy-SIRT(サイサート)」の成り立ちや活動、脆弱性報奨金制度の実施現状について報告された。
サイボウズ運用本部長の山本泰宇氏
サイボウズCy-SIRT事務局の伊藤彰嗣氏
開発部門や運用部門、品質管理部門を巻き込む「仮想組織」
説明会ではまず、サイボウズ運用本部長の山本泰宇氏が、同社全体の情報セキュリティに対する取り組みの概要を説明した。
全社に及ぶ網羅的なセキュリティ対策を実現するため、まずは全社横断型の会議体「CSM(Cybozu Security Meeting)」が設置されている。このCSMには必要に応じて情報システム部門、法務部門、管理部門、マーケティング部門などが参加し、全社的なセキュリティポリシーの策定、対策が議論される。また、さまざまなサービスの運用を「運用本部」に集約/分離し、運用本部内でも権限の最小化やネットワーク隔離といった対策を行っているという。
サイボウズのセキュリティ管理に関わる主な組織。全社セキュリティ協議組織のCSM、インシデント対応組織のCy-SIRT、そして運用本部が取り組む
さて、今回の主題であるCy-SIRTは、同社の製品/サービスに関するインシデントに対応するための組織である。その前身は、2006年に立ち上げられた「PSIRT(Product SIRT)」だ。PSIRTは、各ソフトウェア製品の脆弱性情報に関する社内外からの報告や問合せ、相談を受け付け、改修対応と脆弱性情報の公開を行う専門チームだった。2011年のクラウドサービス「cybozu.com」立ち上げにあたり、クラウドサービスの脆弱性にも対応するためCy-SIRTとして改組された。
Cy-SIRT事務局の伊藤彰嗣氏は、現在のCy-SIRTは7名をコアメンバーとした「組織図には載らない部署横断型の『仮想組織』」だと説明する。7名の内訳は、運用本部、開発部、品質保証部、サイボウズ・ラボの各代表者と、事務局専任担当者3名だ。脆弱性情報の受付窓口はCy-SIRTだが、脆弱性改修の作業は各本部の業務となるため、各本部と迅速かつ緊密なコミュニケーションが取れるようにこうした形態を取っているわけだ。ちなみに伊藤氏によれば、ほかの企業においてもこうした組織横断型の“仮想組織タイプCSIRT”は多いという。
サイボウズのCSIRT「Cy-SIRT」の役割。社内外からの脆弱性情報の受付窓口となり、関係部署への情報共有や対策のコーディネートが大きな役割の1つ
事後対応だけでなく「インシデントの予防」に注力
Cy-SIRTの業務は大きく3つある。一般的なCSIRTのイメージはインシデント発生後の「事後対応」専門組織というものだが、サイボウズCy-SIRTでは特に「インシデントの予防」に注力しているという。「事後対応ばかりやっているのは、CSIRTとして健全ではない。予防できるものはできるだけ予防する」(伊藤氏)。大きな病気にかかってから治療するよりも、事前の発見や予防に努めたほうがトータルコストが安いのと同じことだ。
インシデント予防の活動として、Cy-SIRTではサービスリリース前の社内脆弱性検証や外部機関による監査、またセキュリティ情報の収集や発信を行っている。6月にスタートした脆弱性報奨金制度もCy-SIRTが運営窓口だ。
Cy-SIRTの主な業務。事後対応だけでなく、事前のインシデント予防、製品/サービスの品質管理に注力しているという
ユーザーやIPAなどの機関から脆弱性情報を受理した場合は、国際規格(ISO/IEC 29147、30111)に準じた「脆弱性情報ハンドリングポリシー」に従って、Cy-SIRTと関連部門が協調して対処を行う。基本的な流れは、脆弱性情報の受理、脆弱性情報の集約(データベース登録)と評価、脆弱性の改修、脆弱性情報の公開、連絡者への謝辞公開、となる。
あらゆる製品/サービスの脆弱性情報は、1つのデータベースに集約される。この脆弱性データベースは、開発本部の全員が閲覧できるようになっている。「ある脆弱性がAという製品で発見されたら、製品Bにも同じ脆弱性があるのではないかと調査する。脆弱性情報の共有により、こうした品質管理、品質の均一化が簡単にできる」(伊藤氏)。
また、データベースへの登録後、国際標準の脆弱性評価基準「CVSS v2」に基づいて各脆弱性の深刻度を数値で定め、改修担当部門に連絡する。定量的な数値で示すことで、各部門が改修の優先順位をつけやすくなる。「改修作業は平均で3カ月、長いもので年単位の時間を要する」(伊藤氏)ため、この段階での優先順位付けは重要だ。
あらゆる製品/サービスの脆弱性情報を1つのデータベースに集約。またCVSS v2に基づく定量的な深刻度評価も行う
サイボウズの製品/サービスに組み込まれているオープンソースコンポーネントの脆弱性情報収集も、Cy-SIRTの日常業務の1つだ。時にはOpenSSLの“Heartbleedバグ”のような致命的な脆弱性が発見されることもあるため、Cy-SIRT事務局では毎日バージョンアップのチェックを行い、開発/運用部門への情報提供を行っている。
企業内CSIRTを構築するうえでの要点を、伊藤氏は2つ挙げた。1つは「無理に大きく始めようとせず、小さく始めること」。Cy-SIRTは当初、cybozu.com立ち上げプロジェクト内の“ひとりCSIRT”としてスタートし、そこから徐々に各部門のコアメンバーを巻き込んでいったという。もう1つ、「先人の知恵を参考にすること」。国内でもJPCERTの「CSIRTマテリアル」や日本シーサート協議会(NCA)の「Transits」といったベストプラクティスが公開されており、Cy-SIRTでも大いに参考にしたと紹介する。
伊藤氏がCy-SIRT作りから得た知見。NCAなどの組織を通じて、他社のCSIRTとの情報交換も積極的に行うべきだと語る
(→次ページ、報奨金制度は予算オーバー!? 脆弱性報告は月間30件程度)
