脆弱性管理クラウド「yamory(ヤモリー)」の新機能をメディア向けに先日発表したVisionalグループのアシュアード。本稿では、記者説明会で紹介されたサイボウズにおけるyamoryを活用した脆弱性管理の取り組みについてレポートする。

サイボウズのセキュリティ体制

ご存知の通り、サイボウズはグループウェアの「サイボウズ Office」「Garoon」、業務システム構築プラットフォーム「kintone」、メール共有システムである「Mailwise」をはじめとしたクラウドサービスを提供している。

同社のセキュリティ体制は、製品セキュリティの向上を目的としたPSIRT(Product Security Incident Responce Team)、セキュリティインシデントの対応・予防を主とするセキュリティ室、これら2つの仮想組織であるCy-SIRT(Cybozu Security Incident Response Team)がセキュリティ全般を取り扱うチームとして活動している。

サイボウズ 開発本部 PSIRTの長友比登美氏は「それぞれ違うチームではありますが、セキュリティを取り扱ことは一致しているため協力しながら活動しています」と述べた。

  • サイボウズ 開発本部 PSIRTの長友比登美氏

    サイボウズ 開発本部 PSIRTの長友比登美氏

長友氏自身も所属するPSIRTでは、社内外のセキュリティ診断を実施しており、社内では製品ごとのスケジュールに合わせた検証を計画・実施し、仕様書やソースコードを即時に確認できる立場を活用した診断を開発者と密にやり取りをしつつ行っている。

社外については多角的な製品チェックやセキュリティのプロの視点を取り入れるために、第三者機関によるセキュリティ診断をクラウド版の製品は年1回以上実施している。

  • PSIRTでは社内外のセキュリティ診断を行っている

    PSIRTでは社内外のセキュリティ診断を行っている

長友氏は「多様な観点のセキュリティ診断を組み合わせることで、よりセキュアな製品を提供できるように努力を重ねています。とはいえ、見つけきれない脆弱性も当然存在します」と話す。

そのため、同社では提供サービスのゼロデイ脆弱性を早期に発見・改修することを目的とした制度として「脆弱性報奨金制度」を設けている。対象製品に含まれる未知の脆弱性を報告した場合、謝礼として報奨金を支払い、社内外の診断で見つからなかった脆弱性を報奨金制度を利用して捕捉。

さまざな方法で見つけた脆弱性を修正した後は、自社サイトとJPCERT コーディネーションセンターが運営する国内で流通・利用されているソフトウェアの脆弱性に関連する情報を収集しているデータベース「JVN(Japan Vulnerability Notes)」で注意喚起を目的に公開。また、第三者機関によるセキュリティ診断の結果についても、自社サイトで実施内容と結果のサマリーを公開している。

なぜ、サイボウズはyamoryを導入したのか?

サイボウズでは、こうした体制のもとでセキュリティ対策に取り組んでいる。ただ、yamory導入前のOSS(オープンソースソフトウェア)の脆弱性管理は、製品チームが定期的にPSIRTへ利用しているOSSライブラリの情報を提出し、PSIRTは受け取った情報をもとにライブラリやバージョン情報、利用している製品を紐づけるための管理台帳を手動で行っていた。

また、利用しているライブラリの更新情報をRSSやメーリングリストなどを活用し、週1回確認する必要があったという。長友氏は「当社ではさまざまな開発が進んでおり、従来の方法ではあまりにも時間がかかっていました」と述べており、すべて手動による業務だったことから、いくつかの問題点が発生するようになった。

具体的には脆弱性管理に月間45人日程度かかり、前回提出された情報からの差分を確認して更新・新規登録を実施し、製品チームも台帳更新のための情報を提出する手間があった。さらに、毎週脆弱性情報をチェックするにも手間がかかり、必要な情報を素早く提供できていなかったという。

  • 従来のOSSの脆弱性管理の問題点

    従来のOSSの脆弱性管理の問題点

このような状況を打破するために、同社ではソリューションの導入検討をはじめる。

同氏は「手作業の範囲を少しでも減らしてPSIRTの作業を減らすために、容易な操作で台帳が自動生成され、自動的に脆弱性情報を収集し、導入も簡単に進められればと考えました。また、脆弱性情報をなるべく早く正確に届けたいと考えていたことから、手動より正確・確実に分かりやすく情報が届いてほしいと考え、導入を決めました」と、yamory導入までの経緯を振り返る。

導入で得た効果、そして今後のyamoryへの期待

では、さまざまな脆弱性管理サービスがある中で、なぜyamoryなのか?その点について長友氏は「利用しているライブラリをコマンドラインやGitHub経由で簡単にリストアップし、各ライブラリ含まれる脆弱性情報を自動で収集するほか、収集した情報はオートトリアージで自動的に優先順位を付けるため、次のアクションが分かりやすくなり、必要な機能やほしい機能が揃っていました。加えて、クラウドサービスのため契約開始日からすぐに利用できましたし、ドキュメントも充実しており、導入も容易でした」とyamory選定の理由を説明した。

  • yamoryの採用理由

    yamoryの採用理由

これにより、yamoryを導入したプロジェクトではライブラリ情報の提出・管理台帳の作成や定期な情報の確認がほぼ不要となり、PSIRTでの作業も月間45人日から同10人日に減少し、以前よりも早く脆弱性情報をキャッチアップできる体制となっている。

さらに、ドキュメントが充実しているため、導入自体も簡単だったことに加え、もともと製品開発チームでは必須となっていたリストの提出も自動化され、手動のときよりも早く・正確に脆弱性情報の取得が可能になったため、製品開発チームにもメリットがもたらされたという。

また、リストが正確にできているため、簡単・正確に利用状況を取得できることから、有事の際も迅速に影響範囲の特定を可能としており、製品開発チームでの利用が浸透した結果、そのほかのチームからも利用したいとの声があがり、yamoryの利用チームが増えている。

最後に長友氏は今後のyamoryへの期待として次のように語っていた。

「yamoryに期待していることは2つあります。1点目は脆弱性管理のハブになってほしいということです。セキュリティのことを考える際にひとまずyamoryを開いて、次に何をすればいいのかが、すぐにわかるサービスになってほしいです。そして、2点目はOSSの脆弱性管理だけでなく、今後さまざまなサービスの提供を予定しているため、Webアプリケーション業界全体がよりセキュアになるきっかけのサービスとなってほしいです。診断やOSSの管理などを通じて、自社サービスの問題を見つけ、修正して世の中に送り出すという一連のサイクルを何度も、素早く回していくことでサービスはよりセキュアになることから、そのサイクルを回すきっかけとしてyamoryが活躍し、結果としてソフトウェア業界全体がセキュアになればと考えています」(長友氏)