Cy-SIRT の伊藤です。 サイボウズは 2014 年 6 月 19 日に「脆弱性報奨金制度」を開始いたしました。

脆弱性報奨金制度 - プレスリリース http://group.cybozu.jp/news/14061901.html

今日はサイボウズが脆弱性情報報奨金制度を開始するまでの経緯をご紹介いたします。

• 脆弱性報奨金制度
• 脆弱性情報をどう取り扱うか
• 報奨金制度を設計する
• 多数の脆弱性情報を取り扱う体制を作る
• 自社アドバイザリの公開場所を集約する
• 脆弱性の認定方法を公開する
• 脆弱性識別番号を全社で活用する
• 終わりに

脆弱性報奨金制度

サイボウズが脆弱性報奨金制度を実施する目的は、未知の脆弱性情報をいち早く発見し、改修することです。 脆弱性報奨金制度は、海外の多くの企業で開催されています。

Vulnerability Reward Program - Google
http://www.google.com/about/appsecurity/reward-program/

Microsoft Bounty Programs - Microsoft
http://technet.microsoft.com/ja-jp/security/dn425036

日本でも mixi 様が開催されたことが話題になりました。

脆弱性報告制度 - mixi Developer Center
https://developer.mixi.co.jp/inquiry/security/

脆弱性情報をどう取り扱うか

企業が外部の報告者の方から脆弱性情報を受け付けた際には、以下のようなフローで取り扱います。

サイボウズは 2014 年 2 月に検証環境提供プログラムを開始し、 自社の脆弱性対応フローと脆弱性情報公開フローが、報奨金制度の運用に耐えうるかを検証してきました。

検証環境提供プログラム http://cybozu.co.jp/securityprogram.html

その過程で以下のような課題に取り組みました。

• 報奨金制度を設計する
• 多数の脆弱性情報を取り扱う体制を作る
• 自社アドバイザリの公開場所を集約する
• 脆弱性の認定方法を公開する
• 脆弱性識別番号を全社で活用する

報奨金制度を設計する

脆弱性報奨金制度では、報告いただいた脆弱性情報の深刻度に応じて報告者の方に 報奨金をお支払いします。サイボウズでは 2012 年から脆弱性の深刻度を CVSS v2 と呼ばれる 評価手法を使って脆弱性の深刻度を数値化し、改修する優先度を決める際の目安としてきました。

共通脆弱性評価システム CVSS 概説 https://www.ipa.go.jp/security/vuln/CVSS.html

継続的な報奨金制度を開始するにあたり、cybozu.com Security Challenge（以下、Security Challenge）で 採用したルールを基に、より深刻な脆弱性情報を報告いただいた方に、多くの報奨金をお支払いすることとしました。 Security Challenge で報告いただいた脆弱性情報の件数や、各製品の数年間の脆弱性の件数などを考慮し、 以下のような報奨金金額を設定することとしました。

多数の脆弱性情報を取り扱う体制を作る

脆弱性報奨金制度を開始したことで、昨年までにご報告いただいた脆弱性情報と 比較すると、数倍のお問い合わせをいただくようになりました。 取り扱う情報が多数になるため、運営チームのメンバーを増員し、以下のようなシステムを kintone で新規に作成することにしました。

• お問い合わせ情報を管理する
• 報告者の方への謝辞の公開状況を管理する
• 報奨金の支払い状況を管理する

システムの一部をご紹介します。

コミュニケーションスペース

報奨金制度に関連するメンバーが参加するコミュニケーションスペースです。 報告いただいた脆弱性情報を関係者間でレビューしたり、各種業務に必要な資料へのリンク集として活用しています。

お問い合わせ管理

報告者の方からのお問い合わせを複数人で対応するためのシステムです。 ご報告内容に含まれる脆弱性情報の評価結果や、脆弱性情報の公開状況、報奨金の支払い状況を一元管理し、 漏れの無い対応ができるようにしています。

報奨金管理

報奨金のお支払い状況を管理するシステムです。 コンテストとして実施する場合と異なり、継続的にお支払いが発生することを考慮して、 複数部門でシステムを運用しています。

自社アドバイザリの公開場所を集約する

サイボウズは脆弱性情報を公開する際に、公開場所がサービスごとに異なっていました。 報奨金制度の対象製品として主要な全製品を取り扱うことになったため、公開先を集約することに しました。今後は以下の URL にて全製品の脆弱性情報を公開いたします。

セキュリティ情報 http://cs.cybozu.co.jp/information/5/

脆弱性の認定方法を公開する

脆弱性報奨金制度を導入する際には、報告者の方からいただいた脆弱性情報を、 受け付けてから公開するまで、一貫して公正に扱うことが求められます。 脆弱性の評価方法として CVSS v2 を利用し、報奨金支払いと関連付けたのもその一環です。

報奨金制度を常設するにあたり、Security Challenge におけるノウハウを元に、 サイボウズが脆弱性をどのように受付、認定するかを公開することとしました。

報奨金制度ルールブック http://cybozu.co.jp/company/security/bug-bounty/rules.pdf

脆弱性報奨金制度 - 報奨金獲得に関するガイドライン（PDF） http://cybozu.co.jp/company/security/bug-bounty/guideline.pdf

これらのガイドラインは、今後もいただいたご意見などを元に、改定を行っていく予定です。

脆弱性識別番号を全社で活用する

これまでもサイボウズは脆弱性を認定した際には「脆弱性識別番号」を発行し、 全社の脆弱性を１つのアプリケーションで管理していました。 報奨金制度の開始に伴い、脆弱性への対応状況を可視化することを目的として、 自社のアドバイザリに「脆弱性識別番号」を付与し公開することとしました。

サービスの品質向上にご協力いただいた皆様 http://cybozu.co.jp/specialthanks.html

6 月度 cybozu.com 定期メンテナンス完了のお知らせ(2014/06/13 更新) http://cs.cybozu.co.jp/information/com20140608up01.php#CyVDB-387

終わりに

サイボウズの脆弱性報奨金制度についてご説明しました。 今後も安心してご利用いただけるサービスをご提供できるよう、取り組みを進めていきます。

最後までお読みいただきありがとうございました。

---

【変更履歴】 2014年6月26日 報奨金額表の「6.9以上」を「6.9以下」に訂正しました。