サイボウズは12月9日、11月に開催した脆弱性発見コンテスト「cybozu.com Security Challenge」の実施結果(中間報告)を発表した。75名が参加し、19件の脆弱性が発見されたものの、緊急対応が必要な「深刻な脆弱性」は検出されなかったとしている。
このコンテストは、日本ネットワークセキュリティ協会(JNSA)が主催するセキュリティコンテスト「SECCON」の協力を受け、11月11日から25日にかけてオンラインで開催されたもの。コンテスト専用の検証環境が用意され、参加者により同社のクラウドサービスに存在する未知の脆弱性を見つけ出す能力が競われた(関連記事)。
サイボウズの発表によると、コンテスト期間中、アクティブに検証活動を行った参加者はのべ75名。うち14名から合計19件の脆弱性報告があったが、サイボウズで評価した結果、緊急対応が必要となる深刻な脆弱性は検出されなかったという。報告された脆弱性については、同社の対応ポリシーに従って改修していく。
サイボウズでは今回のコンテストを通じて、具体的な脆弱性の発見だけでなく、攻撃のリアルタイムモニタリングによる攻撃手法に対する知見の獲得、受け取った報告に対する脆弱性と不具合の切り分け方の社内統一などを進めたとしている。
サイボウズでは攻撃の様子をリアルタイムにモニタし、攻撃手法に関するノウハウを得たとしている(画面は参加者ごとのアクションをモニタリングしている様子)
同コンテストの上位入賞者は、来年3月に東京で開催される「SECCON全国大会」で発表される。発見者による脆弱性内容の発表も予定されている。
