こんにちは、Cy-PSIRTの久保です。本記事では報奨金制度の通年実施のご案内と、昨年分の振り返りについてお知らせしたいと思います。
サイボウズ脆弱性報奨金制度とは
サイボウズ脆弱性報奨金制度は、弊社サービスに存在する脆弱性を早期に発見・改修することを目的とする制度です。対象製品の脆弱性を報告いただいた方に、謝礼として報奨金をお支払いしています。検証に際して参加者ごとに専用の環境を提供しており、本番環境への影響を気にすることなくご参加いただけます。
脆弱性報奨金制度 (通年)
期間
2023年4月21日(金) から通年で実施
今年から年度間の休止期間を挟まず、通年での実施となります。
ルール
脆弱性報奨金制度のルールは脆弱性報奨金制度ルールブックおよび、脆弱性認定ガイドラインをご覧ください。また、対象製品はサイボウズ脆弱性報奨金制度の「対象となる製品・サービスおよびWebサイト」に掲載されています。参加を検討されている方は必ずご確認ください。
脆弱性報奨金制度 2022 振り返り
着信数および認定数
| 脆弱性報告件数 | 脆弱性認定件数 | 認定率 | 報奨金支払金額 |
|---|---|---|---|
| 70 件 | 13 件 | 19 % | 1,260,000 円 |
2019年をピークとして減少していましたが、報告件数・認定件数・支払金額ともに下げ止まり、前年から5割ほどの増加となっています。
製品別の報告数および認定数
| 製品 | 着信数 | 認定数 |
|---|---|---|
| Office | 15 件 | 5 件 |
| Garoon | 13 件 | 7 件 |
| cybozu.com 共通管理 | 7 件 | 0 件 |
| kintone | 6 件 | 0 件 |
| サイボウズ KUNAI | 6 件 | 1 件 |
| kintone モバイル | 2 件 | 0 件 |
| cybozu.com 運用基盤 | 1 件 | 0 件 |
| メールワイズ | 1 件 | 0 件 |
| メールワイズ モバイル | 1 件 | 0 件 |
| その他 | 18 件 | 0 件 |
脆弱性認定はGaroon・Officeが中心となっていますが、幅広い製品に対してご報告をいただきました。各製品、様々な機能が追加されておりますので、ぜひ検証対象にご検討ください。追加された機能につきましては、アップデート情報などをご参照ください。
- kintone:https://kintone.cybozu.co.jp/update/main/
- Garoon:https://garoon.cybozu.co.jp/support/cloud/update/
- Office:https://office-users.cybozu.co.jp/update/cloud/
- メールワイズ:https://mailwise.cybozu.co.jp/exist/update/
CWE別報告数
| CWEタイプ | 件数 |
|---|---|
| CWE-284 不適切なアクセス制御 | 8 件 |
| CWE-285 適切でない認可 | 4 件 |
| CWE-16 環境設定 | 1 件 |
例年、アクセス制御の不備に含まれるCWEタイプの認定が上位を占めていましたが、今回はさらに集中する結果となりました。
アンケートへの御礼
1月から2月にかけて、報奨金制度参加者を対象にアンケートを実施いたしました。回答にご協力いただいた皆様には改めて感謝申し上げます。
バグハン合宿の再開やポイント制度の改善など、いただいたご意見を参考にさまざまな施策を鋭意計画中です。
最後に
2022年度の脆弱性報奨金制度におきましても、サイボウズ製品のセキュリティ品質向上にご協力いただき、ありがとうございました。
「サイボウズにこのような企画や施策を実施してほしい」というご要望などございましたら、 報告用サイトやメール(productsecurity@cybozu.co.jp)、Twitter(@CybozuBugBounty)などでお気軽にお寄せください。
それでは皆様のご参加をお待ちしております。
