グループウェアの「サイボウズ Office」や「Garoon」、業務改善プラットフォームの「kintone」など、日本のクラウドグループウェア市場を牽引するサイボウズ。同社は2006年、製品のライフサイクル全般を対象に、脆弱性に起因するインシデントに対応する「PSIRT(Product Security Incident Response Team)」を設立した。
同社セキュリティ室 Cy-SIRT事務局の明尾洋一氏は、「クラウドベースで製品を提供しているわれわれにとって、PSIRTは重要な組織です」と語る。
PSIRT設立のきっかけは、外部の有識者から製品の脆弱性を指摘されたことだ。それまでも製品のセキュリティ強化を担当する専任チームは存在していたが、外部から報告を受けた場合、迅速に対応できるチームを組織として擁することを決めた。
同社は2011年にクラウドサービスの「cybozu.com(サイボウズ ドット コム)」を提供するタイミングで、情報セキュリティマネジメントシステムの国際標準規格である「ISMS(Information Security Management Systems)認証」を取得した。明尾氏は「ISMSを取得する課程で、全社的にセキュリティをハンドリングする体制を構築すると決めました」と説明する。
現在、PSIRTには20名のメンバーが在籍し、上海やベトナムにも拠点を有する。その中の1人、開発本部 PSIRT 所属の大塚由梨子氏は、PSIRTの仕事内容について、以下のように説明する。
「PSIRTでは製品開発のすべてのフェーズで脆弱性テストを実施し、発見した脆弱性の発生手順やリスクを、開発チームにフィードバックしています。また、サードパーティー製の製品に関する脆弱性情報を収集したり、外部の有識者の協力を得ながら、各製品、年に1回の頻度で、外部の会社に監査の位置づけで検証を依頼したりしています。もちろん(年に1回の頻度で行う)ペネトレーションテストで製品のすべての脆弱性が発見されるわけではありません。ですから、社内テストの強化はもちろん、外部監査の専門家にも検証を依頼しています」(大塚氏)
報奨金制度は品質向上の要
サイボウズの製品セキュリティ対策で特筆すべきは、早期より脆弱性報奨金制度(バグバウンティ)を通年で運用していることだ。2014年に同制度をスタートし、同年8月と2017年には「バグハンター合宿」も開催。2017年には約200件の報告件数があり、うち100件は脆弱性として認定したという。
脆弱性報奨金制度を運用する意義について、大塚氏は「多くの人に多角的な視点で製品を検証してもらうことで、あらゆる脆弱性が見つかり、それが製品の品質向上につながるからです」と強調する。
脆弱性報奨金制度とは、わかりやすく言えば「ウチの製品にある脆弱性を発見してくれたらお金を払います」というものだ。「完全な製品を提供する」ことが大前提だった日本の製造業にとっては抵抗がある制度だろう。しかし、ソフトウェアは開発側が想定していなかったような使い方や、他のアプリケーション/サービスと併用すると、それがトリガーとなって脆弱性が発生する場合がある。
「例えば、予想外のデータ量を一度に登録した場合、それがDoS攻撃と同様の影響を与えることもあります。もちろん、明らかな脆弱性は社内で発見・対処はしています。しかし、 脆弱性になり得る現象 を社内検証だけで洗い出すことは不可能です」(大塚氏)
バグハンターからの報告を知見として蓄積
脆弱性報奨金制度のもう1つのメリットは、バグハンターからの報告を社内にフィードバックすることで、知見が蓄積されることだ。重箱の隅をつつくような脆弱性であっても、製品の堅牢性を強化する上で役立つことは間違いない。報告件数は品質向上に直結する。
大塚氏は、「脆弱性報奨金制度に寄せられた報告を見ると、『何をどうやったらそんな操作をするようになるのか?』と驚く反面、万が一同じような操作による攻撃があれば、深刻なダメージが生じる可能性があるものあります。だからバグハンターたちには、『脆弱性を見つけてくれてありがとう』という気持ちしかありません」と語る。
知見が蓄積されることで、攻撃手法を社内の検証に生かしたり、「脆弱性の指標」が充実したりする。"超レア"な使い方で発生する脆弱性でも、それによって発生するインシデントが深刻だった場合はどのように判断するのか。PSIRTで定めた「指標」をもとに、製品担当者とも相談しながら脆弱性のハンドリングを進めていくという。
今後は、脆弱性報奨金制度の充実に加え、バグハンターのコミュニティの活性化にも注力していく。脆弱性報奨金制度は窓口を設けただけでは意味がない。バグハンターにとって魅力的で、継続的に参加してもらえるような施策を検討中だ。同時にBlack Hatなどのセキュリティ・イベントにも積極的に参加して情報を発信したり、バグハンターどうしが情報交換したりできる“場”の提供も考えている。
なお、バグハンターの多くは常連だが、最近では海外から報告を受けるケースもあるとのことだ。