脆弱性情報の公開やCSIRT設立の苦労話も
こうした招待講演以外にも、本カンファレンスではCFP/CFT(スピーカー)募集で選ばれた各種セッションが行なわれた。
セッション会場では、想定以上の聴講者に予備の机と椅子が急きょ運び込まれ、増設された
その1つの「Management for Security Life Cycle」では、サイボウズの伊藤彰嗣氏が組織内CSIRT(Cy-SIRT)を設置するまでの経緯や苦労、サービス/プロダクトの脆弱性検証チームの役割や課題などを紹介した。
cybozu.com Security Challengeを開催できたのも、こうした脆弱性への取り組みがあったからと話すサイボウズの伊藤彰嗣氏
同社は当初、脆弱性を専門に取り扱うチームがおらず、深刻度を決定する指針もなく、プロダクトチームやカスタマサポートがそれぞれの判断で対処していた。しかし2006年、外部から脆弱性が指摘されながらカスタマサポートで適切に対応できず、問題になるインシデントが発生。これをきっかけに、外部窓口の機能を備えたPSIRTを設置し、2011年には自社クラウド基盤の提供開始と併せてCSIRTを設立、全社の脆弱性情報を集約する仕組みを作り上げた。
しかし、このCSIRTはおよそ6ヶ月で破たん。「これまではプロダクトチーム内で納得いく形で脆弱性評価をしてきたものを、別の基準で評価されることに反発があがった。また、攻撃の深刻度に応じて脆弱性を定量的に評価することも難題だった」(伊藤氏)。
粘り強く交渉や調整、研究を続けた伊藤氏は、最終的にIPA(独立行政法人 情報処理推進機構)の共通脆弱性評価システム「CVSS」を採用。続いて、社内の脆弱性情報を洗い出し、脆弱性データベースを構築、標準化された評価方法やガイドラインなどを編み出した。現在は、CVSS v2の評価やCVE番号と併せて脆弱性情報を公開し、外部コントリビュータと積極的にコミュニケーションをとりながら、新しいタイプの脆弱性をどう扱うかなど、次の課題に取り組んでいるという。
OWASPはすべての人に門戸を開いている
なお、同講演を含むOWASP AppSec APACの講演は、すべて資料が公開されている(http://appsecapac.org/2014/2014/03/20/documents/)。
「OWASPはすべての人に門戸を開いている。講演を聞いて面白いアイディアが浮かんだ、もっと良い対策があるなど、何でも構わない。Webをさらに安全な場所にするためにも、ぜひその情報をみんなと共有し、議論に参加してもらいたい」(ゴンドロム氏)。
