サイボウズは1月28日に、自社製品での「脆弱性報奨金制度」ついて説明会を開いた。
脆弱性報奨金制度、いわゆるバグバウンティプログラム(BBP)は一般ユーザー(バグハンター)からの脆弱性の報告に対して、一定の報奨金を出す制度のこと。英語圏ではGoogleやMicrosoft・Facebookなどが実施しているが、同社によると国内ではサイボウズのみが現在実施しているものだ。
サイボウズの報奨金制度を担当するCy-SIRTの伊藤彰嗣氏が、2014年の実績と2月2日からスタートしている2015年の制度変更について説明した。
220万円を獲得したバグハンターも。総額で約700万円の報奨金が発生
サイボウズの脆弱性報奨金制度は、2013年の試行期間を経て、2014年6月から12月まで6ヶ月間行われた。サイボウズの各種クラウドサービス、各種製品を対象としたもので、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System:米国家インフラストラクチャ諮問委員会が制定したもの)によって深刻度をはかり、それを元に報奨金が支払われるしくみだ。
2014年の6月~12月にユーザーから報告された脆弱性は241件、認定したものは158件となっている。このうち最も深刻度の高い「深刻度III」が10件あった。
報奨金の総額は700万円となっている(このうち400万円は公開待ちなどの理由で保留)。1件あたりの報奨金最高額は51万円、報奨金平均額は4万2787円だった。もっとも報奨金を多く獲得したバグハンターは、6ヶ月間で220万円もの報奨金を得たとのことだ。
このしくみによって、2013年と比べるとサイボウズの脆弱性認定件数は大幅に増えている。認定件数で7倍、外部からの通報は約4倍に増えており、報奨金制度が大きな効果を出していることがわかる。
伊藤彰嗣氏は「脆弱性発見の手段として報奨金制度は大きな効果があると実証できた。社内での脆弱性発見と、報奨金による発見が相互補完することで、サイボウズ製品のセキュリテイが向上している」と述べている。
サイボウズ社内では製品全体の安全性を網羅的に見る必要があるが、報奨金制度ではバグハンターが一点突破で脆弱性を発見しようとする。そのため単純な作業量で比較すると、報奨金制度のほうが圧倒的に多くの脆弱性を発見できる。
また報奨金制度によって、サイボウズ社内での意識が高まる効果もあるとのこと。伊藤彰嗣氏は「報告された脆弱性が、社内で他の脆弱性を発見するきっかけにもなっている。サイボウズ社内での脆弱性に対する意識が高まっているため、2015年は社内での脆弱性発見が多くなることを期待している」と分析した。
検証環境提供プログラムでシステムへの影響はなし。海外からの報告が予想外に多かった
サイボウズはクラウドサービスを多く抱えているため、実際に動いているシステムを元に検証するには危険性が存在する。そこでサイボウズでは、脆弱性報奨金制度のために「検証環境提供プログラム」を提供している。
検証環境提供プログラムは、サイボウズの実際のサービスとまったく同じものだが、テスト用として提供されているため、バグハンターが様々なテストを行える。実際のサービスに影響を与えることなく、テストできるのが最大のメリットだ。検証環境提供プログラムには、月間2万から3万リクエストがあったそうだ。
2014年の脆弱性報奨金制度を実施してわかったことがいくつかある。まずは関係する脆弱性がリリースされると、バグハンターによって速やかに検証されること。たとえばShellshockの事例では、リリースされた2日後にはバグハンターによる検証のシグニチャーがテストされていた。
また海外からの報告が予想外に多かったようだ。伊藤彰嗣氏は「英語の資料をまったく用意していなかったが、脆弱性報告のうちの24%が海外からだった。2015年は英語のルールブックを用意するようにしたい」と述べた。
もう一つ、サイボウズが実施したバグハンティング合宿も大きな効果があったとのこと。実際に集まって合宿形式で行うことで、多くの検証が行われ、年間脆弱性情報報告数の20%が2日間に集中した。イベント形式で実際に集まり、バグハンター同士のコミュニケーションを活発になったことが良い結果につながっている。
バグハンターとして参加する人のプロフィールは、学生、会社員、開発者のほか、脆弱性診断士が腕試しすることもあるとのこと。そして意外なことに法人の参加もあったそうだ。脆弱性診断ツールの開発会社も参加している。
2015年はXSSとSQLインジェクションの報奨金をアップするほか、支払いを早める施策も
サイボウズでは参加したバグハンターにアンケートを取り、2月2日からスタートしている2015年の脆弱性報奨金制度に反映させている。
アンケートでもっとも多かったのが報奨金の金額への要望で、たとえばXSS(クロスサイトスクリプティング)の報奨金が低いとの指摘があった。伊藤彰嗣氏は「報奨金のベースとなっている評価基準・CVSS(v2)自体に限界がある。CVSSではサーバー側の被害のみを評価し、クライアント側の被害は評価していないため、XSS脆弱性がどうしても低くなってしまう」と述べた。
そこで2015年の脆弱性報奨金制度では、サイボウズ独自の基準でXSS脆弱性の評価額をアップさせた。2014年と比べて、最高で2倍の報奨金となる。またSQLインジェクションでも評価を変更し、特定のケースで評価を高めて報奨金をアップさせる。
アンケートでのもう1つの要望は、報奨金の支払いが遅いという指摘だ。2014年の制度では「報告された脆弱性を一般に公開してから」の支払いだったため、平均で支払いまでに約10ヶ月かかっていた。「忘れてしまいそう」という声もあり、2015年は支払いを早めるように変更された。2015年の制度では「一般公開するか、脆弱性認定後に6ヶ月を経過したら支払う」という形になっている。
このように昨年の反省点を元に、2015年のサイボウズの脆弱性報奨金制度は、2月2日からスタートしている(サイボウズ脆弱性報奨金制度について詳細説明とガイドライン)。12月25日までのおよそ10ヶ月間行われているので、興味がある人はチェックしてみるとよいだろう。
国内の脆弱性報奨金制度は以前、他社でも開催していたものの、現在はサイボウズのみとなっている。他社からの問い合わせがあるか?という質問に対し伊藤彰嗣氏は「国内企業からの正式な問い合わせはないものの、勉強会などで興味を持っていただいている。サイボウズでは自社でコントロールしたいので独自のシステムで報奨金制度を持っているが、他社ではすでにある脆弱性報奨金のシステム、たとえば『HackerOne』などを利用する手もあるだろう」と述べた。
最後に伊藤氏は脆弱性報奨金でのよい点と気にかかる点をまとめた。気にかかる点としては「日本のお客様の中には、バグバウンティの狩猟的要素、攻撃者を雇うということを文化として理解していただけない方もいらっしゃる」と述べた。
脆弱性の公開や報奨金のことを知ると「御社のソフトにはそんなに問題があるのか?」と思ってしまう人もいるとのことだ。これは脆弱性報奨金の問題というより、セキュリティの知識が、日本で理解されていないことが原因といえるだろう。
脆弱性報奨金のよい点としては「弊社製品のPRのためにセキュリティチェックシートを作っているが、ここで脆弱性報奨金のことを詳しく紹介している。脆弱性報奨金制度によって安全性を高める努力をしていることで、お客様になるほどと思っていただける」とした。
このように自社製品の安全度をアピールする手段として、脆弱性報奨金制度が有効に使われている。日本ではあまりなじみのない脆弱性報奨金制度だが、サイボウズの成功例を元に、他社での導入も期待したい。