ビジネスを守るサイバーセキュリティに強い会社の作り方：ITmedia エンタープライズ ソリューションセミナー レポート（2/6 ページ）

[ITmediaエンタープライズ編集部，ITmedia]

セキュリティの品質を高めるサイボウズの取り組み

サイボウズ グローバル開発本部品質保証部セキュリティチームの伊藤彰嗣氏

　ランチセッションではサイボウズが、製品・サービスのセキュリティ品質を高めるために2013年から実施している脆弱性報奨金制度について紹介した。脆弱性報奨金制度は、IT製品・サービスに存在する脆弱性などのセキュリティ情報を外部から募り、報告者に対して報奨する仕組みだ。

　脆弱性報奨金制度は、海外では大手のIT企業が相次いで導入しているが、国内ではサイボウズが草分け的な存在として知られる。同社ではサービスの開発や運用、品質管理の面でセキュリティを重視し、この制度は外部の協力を得ながら内部で見つけ切れない脅威に対策するための補完的な取り組みに位置付けている。

　同制度は初年に期間限定で実施したが、2014年から常設化した。2016年9月までに約600件の報告が寄せられ、そのうち6割を脆弱性として認定している。脆弱性は改修後に、JPCERT コーディネーションセンターなどの外部機関と連携しながら一般にも情報を公開している。伊藤氏によれば、外部からサービスを利用するユーザーの視点で見つかりやすい脆弱性や、報告者が持つ深い知見に裏付けられたクロスサイトスクリプティングの報告などが多いという。

　また制度を運用していく中で、特に情報の受付や脆弱性の検証と評価、情報公開の点で課題になりがちになることも分かってきた。情報は広く募ることから、海外から提供されるケースがあり、同社に寄せられる報告の約3割が海外からとなっている。これらについては英語による受付窓口や規約を整備し、情報提供の対象となるサービスや報奨金獲得ルールの明文化した。評価基準やガイドラインも公表することで、スムーズな対応ができる環境づくりを進めてきたという。

　ITを利用する製品やサービスの脆弱性情報は、ブラックマーケットで売買される状況にあり、万一攻撃者の手に渡って攻撃に悪用されると深刻な事態が生じかねない。国内でも脆弱性報奨金制度の導入する企業が徐々に増えつつある。また、脆弱性報奨金制度の運営を支援するサービスも登場している。サイボウズでは脆弱性報奨金制度の導入を検討する企業にも協力していく方針だ。