ニュース

脆弱性報奨金制度にも取り組む、サイボウズCSIRTの日々の活動

 サイボウズ株式会社は11日、自社製品のセキュリティの取り組みに関する説明会を開催した。「脆弱性報奨金制度」といったユニークな施策も展開するサイボウズは、どのようなポリシーでセキュリティに取り組んでいるのか――。

 セキュリティについての経営方針としては、セキュリティ専門の委員会「CSM(Cybozu Security Meeting)」設置、インシデント対応組織「Cy-SIRT(Cybozu Security Incident Response Team、読み:さいさーと)」設置、運用部門を分離し「運用本部」設立が挙げられる。

広範なセキュリティに取り組む「Cy-SIRT」

Cy-SIRT事務局の伊藤彰嗣氏
Cy-SIRTの業務

 中でも中心的役割を果たすのが「Cy-SIRT」という部署横断型の仮想組織。「運用本部、開発本部、品質保証部、サイボウズ・ラボ、Cy-SIRT事務局の担当者が社外の組織・専門家と協力して、インシデント発生の予防、早期検知、早期解決、被害が発生した場合の最小化を主眼とした活動を行う」(Cy-SIRT事務局の伊藤彰嗣氏)という。2011年に「cybozu.com」を立ち上げるとともに、製品だけでなくより幅広いセキュリティ問題に取り組むチームとして設立された。

 設立時に心がけたことは「小さく始めること」と「ベストプラクティスを参考にすること」。伊藤氏は「最初はCSIRTを名乗ってみようというレベルで活動を開始した。急に大きくすると活動がなかなかうまく進んでいかないため、小さく始めるのはポイントだと思う」と説明。ベストプラクティスとしては、JPCERTの「CSIRTマテリアル」、日本シーサート協会の「Transits」、ENISAの「Good Practice for Incident Management」を参考にした。

 Cy-SIRTの業務は「インシデントの予防」「品質管理」「事後対応」の3点で、「CSIRTは事後対応に注目が集まりがちだが、そればかりに追われているのは健全な状態ではない。予防の面から取り組むべき」(伊藤氏)という姿勢だ。

 インシデントの予防としては、脆弱性検証や脆弱性報奨金制度などに取り組み、事後対応としては自社内インシデント対応支援や脆弱性情報ハンドリングなどに取り組む。

脆弱性報奨金制度の狙い

 脆弱性検証は、各プロダクトのリリースごとに行う自社内検証と、定期的に外部機関に依頼する検証を実施している。自社内検証は、kintoneを例に取ると2010年12月から2014年6月までに12回実施。外部検証は、cybozu.com上で提供されるサービスについては最低年1回は実施し、外部検証の結果をサマリーレポートとして社外にも公開している。

 このほか、ユニークな取り組みとして注目されたのが脆弱性報奨金制度。同社の製品・サービスの脆弱性を発見し報告してくれた人へ報奨金を支払うというもので、2014年6月にスタート。報奨金は1件あたり1000円から最大30万円で、すでに約60件の脆弱性が発見され、報奨金支払い予定金額は279万8000円を超える。CVSS v2で深刻度が8.5~10のものも見つかっており、一人あたりの報奨金額が最大51万円(複数脆弱性だったため30万円を超える)となった案件もあるという。

 この制度を始めるきっかけとなったのが、2013年9月に開催した脆弱性発見コンテスト「cybozu.com Security Challenge」。コンテストでも多くの脆弱性が見つかり、自社内検証や外部検証を行ってきたサイボウズも「それだけでは不十分。より多くの外部の目に晒して、製品の品質向上に努める必要がある」(伊藤氏)と考えるようになったという。

 cybozu.com Security Challengeは最終的に、参加人数75名、脆弱性の報告者14名、発見された脆弱性19件となった。

 また、脆弱性報奨金制度には実はこんな狙いもあるという。「脆弱性の報告を受けてから、改修までには3カ月くらいは時間がかかってしまう。その間に脆弱性を公開されてしまう可能性がリスクとしてあった。報奨金制度は、報奨金を支払うので改修されるまで公開しないでね、という約束になる」(同氏)。

脆弱性情報奨金制度のフロー
6月30日までの実績

外部からの脆弱性報告をハンドリング

 こうしたサイボウズが能動的に行う脆弱性対策のほか、外部からも脆弱性情報の報告を受け付けており、その活動が「脆弱性情報ハンドリング」として、一般的にCSIRTの活動として思い浮かぶ事後対応の取り組みだ。判明した製品の脆弱性について社内や第三者機関と調整しながら、修正、情報公開までを行うプロセスで、サイボウズでは国際標準規格「Vulnerability disclosure(ISO/IEC 29147)」および「Vulnerability handring processes(ISO/IEC 30111)」を基準に、独自の「脆弱性情報ハンドリングポリシー」を定め、外部にも公開している。

 内容は、Cy-SIRTが中心となって、脆弱性の報告者(個人や機関など)、社内の運用本部・開発本部・そのほかの部署、第三者機関との調整を行うというもの。外部から脆弱性情報を受け付けるための専用フォームを用意し、集まった脆弱性情報をすべてデータベースに集約。標準的な評価手法である「CVSS v2」に従い、「攻撃容易性」と「影響度」の2点から深刻度を評価し、改修時期などを検討。修正後に自社アドバイザリやIPAなどの第三者機関を通じて脆弱性情報を公開するほか、脆弱性情報を報告してくれた人への謝辞も公開する。

脆弱性情報ハンドリングの体制
脆弱性情報を報告してくれた人への謝辞も公開
これまでの活動で得た知見

 このほか、サードパーティ製品の脆弱性対策もCy-SIRTの役目だ。同社製品・サービスに関連するOSSの脆弱性を日々調査し、「HeartBleed(OpenSSLに見つかった重大な欠陥)」のような事案が判明した際に、必要な情報を収集し、適切なチームに連絡する。

 また、ユニークな取り組みとしては、2014年7月1日に「cybozu.com バグハンター合宿」開催が発表された。8月6日~7日の2日間、合宿形式で脆弱性を発見してもらうというもので、無料で1泊3食付き、食事券(3万円)の賞品を用意する。

 情報セキュリティに対するサイボウズの考え方は、「完璧なセキュリティはあり得ない」「攻撃側・防御側どちらもリソースは有限。なので低いコストで実行できる攻撃を優先的につぶし、攻撃にコストがかかるようにする」「網羅的に対策し、蟻の一穴を防ぐ」というもの。

 2006年には、外部のセキュリティ専門家から製品の脆弱性情報が適切に公開されていないと指摘を受けるなど、必ずしも体制が十分でなかった同社だが、この1件を契機に、社外の専門家からの製品に関する問い合わせに対応するチームとして「Product SIRT」を設立し、2011年に「Cy-SIRT」に発展させた。日々の地道な作業に、ユニークな施策を組み合わせるところがサイボウズらしいが、こうしてcybozu.comの安全性は滞ることなく高められている。

川島 弘之