インシデント発生を前提に考えるサイボウズのセキュリティ対策とは？（3/3 ページ）

[國谷武史，ITmedia]

加速する脆弱性対策

　Cy-SIRTでは上述の脆弱性対応に加えて6月にスタートした「脆弱性報奨金制度」の運営も手掛ける。伊藤氏は、「社内チェックだけでは限界があり、外部の協力を得ることで製品の品質向上を目指したい」と話す。

　同制度には6月末までに46人が参加し、43件の脆弱性報告が寄せされた。7月分だけも11日現在で15件の脆弱性が報告され、新制度によって脆弱性の報告件数は増えている。

　また、8月6〜7日に都内で「cybozu.com バグハンター合宿」も行う予定。参加費は無料で、対象は過去に同社の脆弱性発見プログラム参加者。3万円分の食事券や脆弱性報奨金制度に基づく報奨金も支払う予定で、著名なセキュリティ研究者などが参加する予定だという。

　こうした対応を通じてcybozu.comでは様々な脆弱性の発見と修正が行われてきた。伊藤氏によれば、直近の2年間では「通信および運用管理」に関する脆弱性が最も多く（24％）、以下は「サービス品質」（11％）、「アクセス制御」（11％）、「アプリケーションセキュリティ」（8％）などとなっている。

cybozu.comにおける脆弱性の内訳

　伊藤氏は、「これまでの経験からCSIRTの活動はスモールスタートが望ましいと感じる。コアメンバーとの密な連携や、守るべき部分を明確にすることが重要。また、日本シーサート協議会など外部機関や他社のCSIRTともコミュニケーションを図りながら情報を共有していくことが大切だ」と話している。