サイボウズは7月11日、cybozu.comのセキュリティに関する記者説明会を開催。同社が3年前に設立した社内のCSIRT(Computer Security Incident Response Team)「Cy-SIRT」の活動について説明した。

サイボウズ 運用本部長 山本泰宇氏

運用本部長 山本泰宇氏は、「セキュリティ対策では、セキュリティを正しく理解することが重要だ」と語り、正しいセキュリティ対策とは、構成要素を正しく理解する、各構成要素について分析する、インシデント発生を前提に備えるの3つだと説明した。

サイボウズではセキュリティ対策のため、セキュリティ専門の委員会「CSM」、インシデント対応組織「Cy-SIRT」、運用部門を分離した「運用本部」を設立しているという。

セキュリティ確保のため設立した3つの組織

「Cy-SIRT」はCybozu inc.Security Incident Response Teamの略で、2011年にcybozu.comのリリースにあわせて設立。現在の主要人員は、運用本部長、開発部長、品質保証部長、サイボウズ・ラボのメンバーに常駐の事務局3名を加えた7名だという。

「Cy-SIRT」

「Cy-SIRT」では、社外の組織・専門家と協力して、インシデント発生の予防、早期検知、早期解決といった、被害が発生した場合の最小化を主目的とし、顧客および社内に向けた活動では、インシデント予防、品質管理、事後対応が主だという。

「Cy-SIRT」の業務

インシデント予防で特徴的な取り組みとして挙げられるのは、同社が6月19日に発表した「脆弱性報奨金制度」だ。

「脆弱性報奨金制度」の流れ

これは、クラウドサービス基盤「cybozu.com」およびその上で稼働するサービスの脆弱性を発見・報告した人に対し金銭を支払う報奨金制度。報奨金は1件あたり1,000円から最大30万円だ(1件の報告から複数の脆弱性が検出された場合の金額上限は1,000,000円)。

制度スタートは6月19日だが、「脆弱性検証環境提供プログラム」を開始した2014年2月以降、既に報告されている37件の脆弱性に対しても遡って報奨金を支払っている。

Cy-SIRT事務局の伊藤彰嗣氏によれば、2月から6月末までにこの制度によって発見された脆弱性は43件で、報奨金の支払総額は279万8,000円だという。

同社では受け取った脆弱性はデータベースに集約し、共通脆弱性評価システムCVSS v2を使って深刻度を測定している。

脆弱性はデータベースに集約し、共通脆弱性評価システムCVSS v2を使って深刻度を測定

結果は、「Cy-SIRT」から関連部署に連絡され、各サービスで改修時期を検討するという流れだ。

Cy-SIRT事務局の伊藤彰嗣氏

また、自社においても、IPAからリリースされているWeb健康診断仕様をベースに実施するほか、cybouzu.com上で提供されるサービスについては、年間最低1回の監査を外部機関に依頼しているという。

伊藤氏は、「7月だけでもすでに15件の報告があり、制度が盛況になってきた」と述べたほか、山本氏も「費用対効果を検討するまでもない」と、「脆弱性報奨金制度」の効果の大きさを評価している。

そして伊藤氏は、これまでの活動で得たCSIRTに関する知見として、小さくはじめること、幹部メンバー、開発メンバーを巻き込むこと、守るべきものを明確にすること、ポリシーは柔軟にすること、JPCERT、日本シーサート協議会などの情報を活用することを挙げた。

これまで得た知見