サイボウズは2月26日、クラウドサービス「cybozu.com」上で稼働するサービスの脆弱性を発見するため、常設型の「脆弱性検証環境提供プログラム」を、同日より開始すると発表した。

プログラム開始の背景として、同社では、外部のセキュリティ専門家の協力を広く募るため、2013年11月に脆弱性発見コンテスト「cybozu.com Security Challenge」を実施。コンテストに際して、実運用している環境と同じスペックでありながら回線もサーバーも物理的に分かれたシステムを用意したことにより、安全に検証ができたと好評だったことから、「cybozu.com」上で提供する全サービスの検証環境を常設で提供することを決定した。

同社では、社内と委託先で実施している脆弱性のテストは、一様に想定したシナリオに基づいて検証するものだが、広く発見の間口を広げることで、想定外の使い方からしか発生しないような脆弱性の発見も可能になるとしている。

脆弱性テストのイメージ

脆弱性検証環境提供プログラムの主な概要は次のとおり。

対象分野

  • cybozu.com 共通管理(セキュアアクセスを含)
  • cybozu.com上のサービス(Office / Garoon / kintone /メールワイズ)
  • kintone API(REST API / JS API / User API)
  • kintone アプリストア
  • 製品サイト(https://www.cybozu.com/jp/、/https://kintone.cybozu.com/jp/)

申込み条件

  • 参加規約に同意すること
  • 日本語または、英語でコミュニケーションできること
  • サイボウズ社員および、関連会社社員ではないこと
  • 検証環境にアクセスするための機材を用意できること。利用する機材に制限はない。

なお、脆弱性発見者には、謝礼として報奨金を提供する制度を開始予定となっている。