こんにちは。Cy-SIRT 事務局の伊藤です。 2015 年 3 月 7 ~ 8 日に神戸デジタル・ラボ様にて開催された 医療セキュリティハッカソン神戸 に 審査員として参加いたしました。
今日は審査員としての仕事について、簡単にご報告をいたします。
医療セキュリティハッカソン
2007 年にアメリカで始まった Health 2.0 をベースにしたコンテストです。 用意された医療系ソフトウェアに存在するセキュリティ上の弱点を探す「バグハンティング」の技術を競います。 阪神大震災 20 年の節目である本年、同じ震災経験地である福島の株式会社 Eye's Japan 様と 株式会社神戸デジタル・ラボ様が共同開催されました。 サイボウズは神戸にて開催されたコンテストに協賛しています。
ボウズマン@神戸デジタル・ラボ 様
コンテストにおける脆弱性情報ハンドリング
サイボウズでは昨年 cybozu.com バグハンター合宿を開催いたしました。 18 名の方にご参加いただき、2 日間で 53 件の脆弱性情報を報告いただいています。
クウネルハックの「バグハン合宿」で発見した大切なこと http://developer.cybozu.co.jp/tech/?p=7875
弊社では Web フォームまたは、メールにて脆弱性情報を受け付けています。 前回のバグハン合宿では通常の Web フォームで脆弱性情報を受け付けたのですが、 短い期間に多数の報告が寄せられた場合に対応しきれないことが課題になりました。
そこで今回審査員として脆弱性を評価するにあたり、以下のようなアプリケーションを kintone で構築しました。
問い合わせ管理システム
参加者の方が「問い合わせフォーム」から脆弱性情報を報告すると、審査員が利用する「問い合わせ管理」に登録されます。 登録された脆弱性情報は、必要な情報が足りているか、重複している脆弱性では無いかなどをトリアージし、 1つの脆弱性につき1件のレコードを「脆弱性管理」に登録します。
「脆弱性管理」では審査員が脆弱性の再現確認を行い、CVSS による脆弱性の定量評価を行います。 CVSS v2 による脆弱性の定量評価をサポートする機能が実装されています。
「問い合わせ管理」では審査員による評価状況を確認することができます。 問い合わせ窓口担当者が評価状況を確認し、評価結果を参加者の方に適宜連絡をしていきます。
これまでにご紹介したシステムを使い、以下のような体制で審査を行いました。
- 一次トリアージ&問い合わせ窓口:1 名
- 脆弱性評価:3 名
事件は現場で起こる
コンテスト開始後 7 分で脆弱性情報が報告されたのを皮切りに、続々と脆弱性情報が寄せられました。 前回弊社で開催した合宿と大きく異なっていたのは、休むことなく脆弱性情報が寄せられたことです。 初日終了した時点で、バグハンター合宿で発見された脆弱性情報の件数を大きく上回り、問い合わせ対応が 回らない状況になりました。
真剣な参加者の皆様。バグバウンティをオフラインで集まるハッカソン形式で開催するメリットを強く感じました。
1 日目終了時には、たこ焼きパーティが開催されました
2 日目からは神戸デジタル・ラボ様にスタッフを増員いただき、6 名体制で運営することとなりました。
- 問い合わせ窓口:2 名
- 一次トリアージ:1 名
- 脆弱性評価:3 名
幸いなことにある程度作業内容が手順化できていたことと、スタッフの皆様の努力の結果、 2日目はスムーズに作業を進めることができました。 ただ最終的には脆弱性の評価はなんとか完了したものの、評価結果の連絡は間に合わない状況でした。
課題
今回も問い合わせ窓口がボトルネックとなってしまったことを考えると、短期間で開催するコンテストでは 脆弱性情報の受付連絡や、評価結果の連絡などの窓口対応にかかる工数を削減する方法が必要です。 次回この仕組みを使うことがあれば、報告者の方にも kintone にご参加いただき、 審査員と直接コミュニケーションができる仕組みを整えていこうと画策中です。
最後に
参加いただいた皆様、スタッフの皆様、ありがとうございました。 機会があれば、次回もぜひ参加したいと思います。今後とも、よろしくお願いいたします。
