ニュース

サイボウズの「脆弱性報奨金制度」は2015年も続行、一部条件の緩和も

 サイボウズ株式会社は27日、「脆弱性報奨金制度」を2015年も継続して実施すると発表した。それに伴い、2014年の結果と2015年の改訂点を紹介する記者会見を開いた。

2014年の脆弱性報告件数は241件

 脆弱性報奨金制度は、同社の製品に対して、社内のセキュリティ・エンジニア育成や第三者機関による定期的な検証に加え、「外部の目」を借りて脆弱性を発見する取り組み。ゼロデイ攻撃の可能性を未然に防ぎ、同社製品の安全性を高めることを目的とする。

 2013年の準備期間を経て、2014年6月19日~12月25日に正式開催。2014年の結果として、参加者98名(2015年1月現在)、届出件数241件、サイボウズが脆弱性と認定した件数は158件となった。2013年は脆弱性認定件数が26件だったため、この制度を始めてから約6倍に増えた形だ。

 報奨金総額は687万円で、2014年12月末までに295万円が支払い済み。報奨金の平均額は4万2787円、最高額は51万円で、1人で獲得した年間最高額は220万円となった。この獲得者は1人で7~8件の脆弱性を届け出たという。

2014年の脆弱性報告・認定件数と報奨金総額
報奨金最高額は51万円。平均額は4万円強
2014年と外部通報の割合などの比較

 サイボウズでは「Cy-SIRT(Cybozu Security Incident Response Team)」を立ち上げ、自身でも自社製品をセキュアにする取り組みを行っている。そうして検出される既知の脆弱性に加え、社内で検出されていない未知の脅威を洗い出すのが「脆弱性報奨金制度」の狙いだ。cybozu.comの本番環境に影響を与えないよう、検証環境も参加者に提供。月間にならすと、およそ2万~3万ほどの検査パケットが届いている状況という。

実施して分かったこと

Cy-SIRT事務局の伊藤彰嗣氏

 実施して分かったことは4点。まず、OSSの脆弱性がリリースされるとcybozu.comに対しても速やかに検証が行われている。「bashの脆弱性“ShellShock”が公開されると、すぐさま攻撃シグネチャが生成されるなど、参加者が脆弱性情報を参考にしながら検査していることが分かる」とCy-SIRT事務局の伊藤彰嗣氏。

 次に、海外からの問い合わせや脆弱性報告が約3割に上るのが意外な点だ。「この制度に関して英語の資料は公開してない。どこでこの取り組みを知ったのか、アフリカからの問い合わせがあったりする」(伊藤氏)という。

 また、オフライン合宿が参加者のモチベーションを高めることも分かった。2014年8月に2日間の合宿を行った際、検証量は通常時の3~4カ月分に。年間脆弱性報告数の20%がこの2日間に集中したという。

 このほか、法人からの脆弱性報告があったのも発見だった。「これまでは個人や研究者の方からの脆弱性報告を受理していたが、法人として参加したいとの相談があり、急きょ制度を見直した」。実際に脆弱性診断ツール「VEX」のベンダーが参加したという。

2015年も続行、制度は一部見直しへ

 「脆弱性報奨金制度」は2015年も続行することが発表された。2月2日から再開する予定だ。ただし、2014年の参加者のフィードバックを基に一部条件を改訂する。参加者へのアンケートでは、サイボウズ側の応答時間にやや不満が見られたほか、自由意見にて「脆弱性の評価方法を見直して欲しい」「報奨金の振り込みまでに時間がかかる」といった指摘があった。

アンケートの自由意見での指摘
ちなみにこの制度に期待するものは、やはり「報奨金の金額」

 評価方法については、危険性の高いクロスサイトスクリプティング(XSS)やSQLインジェクションが報奨金の額としては過小評価されていた面があったという。これはCVSS v2に忠実に従ったが故の結果で、たとえばXSSをCVSS v2で評価すると危険性を表す基本値は5.0が上限で、危険性も上から二番目のレベルIIと判定される。

 実際には容易に攻撃可能である点を考慮し、上限(5.0)に至ったXSSについては、レベルIIIに準ずる報奨金10万円を支払う。同様にSQLインジェクションも、CVSS v2基本値で6.5を超え(レベルII相当)、かつ深刻な被害を及ぼす可能性があるものについては、レベルIII相当の報奨金を支払うこととし、評価結果を忠実に報奨金へ反映するのではなく、より深刻な脆弱性情報に多くの報奨金を支払うよう柔軟性を持たせた。

 また、報奨金振り込みについても「遅い」との声を受け、現状の「脆弱性を改修し、情報公開が完了次第」から、遅くとも「サイボウズが脆弱性情報を一般に公開した」あるいは「脆弱性として認定後、6カ月を経過した」翌月支払に改訂した。

 いずれも条件を緩和した形だ。

ルール変更内容。XSS・SQLインジェクションの評価方法や報奨金の振り込み時期の条件が緩和される
現行の報奨金体制。さまざまな観点から危険度を算出するCVSS v2の基本値を基に金額を算出する。この基本ルールに変更はない
XSSについては、CVSS v2だと基本値の上限が5.0で評価はレベルIIとなる。新しい報奨金体系では、上限に達した場合はレベルIIIに準ずる報奨金を支払う
報奨金の振り込み時期も変更。遅くとも6カ月後には支払が処理される形に

 サイボウズでは同制度の好影響もあってか、社内でのセキュリティ体制も成熟が進んでいるという。「この制度を始める以前は外部通報で脆弱性を発見できる割合は17%だった。当然、制度後は外部通報による発見が増えているのだが、思っていたよりも少ない45%。サイボウズ自身の脆弱性検知能力も上がってきており、2015年はさらに外部通報の割合は下がるのではないか」としている。

川島 弘之