1月27日、サイボウズは脆弱性報告に対して、報奨金を支払う脆弱性報奨金制度の説明会を開催した。ユニークな制度の概要と昨年の総括について、Cy-SIRT責任者である伊藤 彰嗣氏が説明を行なった。
社内で検出できない脅威を洗い出す
サイボウズの脆弱性報奨金制度は、社内で検出されていない未知の脆弱性を発見した善意の協力者に報奨金を渡す制度。外部の目を製品の品質向上に活かし、サービス・製品の品質を高めることを目的に2014年から実施されている。cybozu.comで動作する各サービスのみならず、指定のパッケージ製品やAPI、Webサイトも対象となる。
セキュリティインシデントの対策チームであるCy-SIRTの責任者を務める伊藤 彰嗣氏
もとよりサイボウズは、プログラミング、運用、品質管理などのプロセスにおいて、ソフトウェア開発をセキュアにする取り組みを進めている。これに加え報奨金制度を活用し、外部のバグ発見者に脆弱性を報告してもらうことで、社内で検出しきれない未知の脅威を洗い出すことが可能になる。これによって、専門家でも対策できない本当のゼロデイ攻撃の件数を減らしていくのが狙いだ。
社内で検知されていない未知の脅威への対策
制度は2013年から設計され、2013年の10月~12月に試行。最終調整を経て、2014年3月にリリースされている。脆弱性をどのように取り扱うかを明文化したガイドラインや外部の研究者が安全に検証を行なえる検証環境提供プログラムなどを提供しているのが特徴。検証環境に関しては「利用環境がお客様の環境と物理的に隔離されているため、診断によって、お客様に被害が出ることはない」と語る。検証環境提供プログラムには現在98名が登録しているという。
脆弱性の外部通報は開発品質も上げる
では、2014年度はどうだったのだろうか? 伊藤氏によると、脆弱性に関しては241件連絡を受け、158件が脆弱性の認定を受けたという。この中には深刻度の高い脆弱性も10件を数えた。報奨金の総額は約700万円で、約400万円が保留という状態。ちなみに報償額の返金額は4万2787円で、年間の最高獲得額は220万円となっている。
2014年の総括
昨年度に比較すると、脆弱性の認定件数は26件から158件に増え、報奨金制度の対象となる外部からの通報の割合も17%から45%に増えた。「脆弱性の数はもちろん、品質を上げる速度も上げることができた」(伊藤氏)とのことで、大いに役立っているようだ。
昨年度との比較
脆弱性報奨金制度を実施してみて、はじめてわかったことも披露された。たとえば、OSSの脆弱性がリリースされると、速やかに検証が行なわれるようになったのも1つ。Shellshockの脆弱性の際も、即座に検証環境が利用されたという。海外からの問い合わせが多かったのも予想外の出来事。「日本語しか資料を用意していないにもかかわらず、2割強の方が英語圏の方々となっている」(伊藤氏)とのことだ。
また、8月に行なったバグハンティング合宿も高いパフォーマンスを得られ、検証環境にリクエストは通常の3~4倍になり、年間脆弱性情報報告数も20%が合宿中の2日間に集中したという。さらに個人や研究者のみならず、法人の参加相談や脆弱性診断ツールを使ったソリューションが提案されたのも大きかったようだ。
参加者の声を受けたルール変更を実施
このように大きな効果を得られた脆弱性報奨金制度だが、参加者の声を受け、2015年度はルールの一部に変更が加えられる。
2015年度のルールの変更点
1つ目は脆弱性の評価に関するルールを追加する。具体的にはXSS(クロスサイトスクリプティング)とSQLインジェクションの脆弱性をより深刻な情報として扱い、多くの報奨金を支払うというもの。「XSSの攻撃では、対象となるシステムの被害に対して、クライアントに対する被害が過小評価される傾向にある」(伊藤氏)といった実態を受けたもの。参加者のアンケート結果を受け、攻撃が容易で、危険性の高い脆弱性の報告を重視するようにした。
もう1つは報奨金の支払い時期の変更。従来はサイボウズが脆弱性情報を一般に公開した後に振り込んでいたが、報奨金が支払われるまでに時間がかかっていたという。伊藤氏は「特にオンプレミス製品はステークホルダーが多い関係で、脆弱性の公開が遅くなる傾向にある。実際、8割のオンプレミス製品で、脆弱性の公開にまで10ヶ月かかる」と語る。今回の変更では、参加者での脆弱性と認定した後、6ヶ月経過した時点で公開されていないものも報奨金が振り込まれる。
現状、同じような取り組みをしているソフトウェア会社は国内では見あたらず、外部を使った脆弱性の報告に懸念を示す声がないわけではないのが実態。しかし、既存の手法では見つけられなかった脆弱性の発見が可能になったのも事実で、日々進化するゼロデイ攻撃を防御するため、今後もこの取り組みは継続していくという。
