2016年 脆弱性報奨金制度を振り返って

こんにちは。Cy-PSIRT の山西です。

本エントリでは 2016 年に実施した脆弱性報奨金制度の結果、ご参加いただいた方向けのアンケートでいただいた質問への回答、2017年後半戦の取り組みについてまとめました。

ご報告くださった方、アンケートへ回答くださった方、ありがとうございました!

2016年の振り返り

定量情報

2016年のご報告数、報奨金のお支払金額は以下のようになりました。 f:id:cybozuinsideout:20170623135014p:plain

※ 数値の見方  外部からお寄せいただいた脆弱性情報は、受付 > 検証(再現確認)のプロセスを経て、脆弱性の認定手続きに進みます。  詳しくは過去の総括記事をご覧ください。

blog.cybozu.io

2016年報奨金額獲得ランキング

2016年にご報告いただいた脆弱性によって、獲得した報奨金額が最も多かったのは東内裕二(@yousukezan) 様でした。おめでとうございます。

f:id:cybozuinsideout:20170626092635p:plain

高額な脆弱性をご報告いただいた方ランキング

ご報告いただいた脆弱性が高額だった方ランキングも、全体のランキングに続き、東内裕二(@yousukezan) 様が 1 位でした。こちらもおめでとうございます。

f:id:cybozuinsideout:20170626092558p:plain

2016年のトレンド

前年以上に認定の可否を議論する機会が増えました。 2016年に社内で議論を重ねた報告については Cybozu Tech Conference 2016 で紹介した際の資料を公開しているので、よろしければこちらもご覧いただけると嬉しいです。

www.slideshare.net

それと同時に 2016年は、XSS の脆弱性がご報告数 1 位に返り咲きました。XSS単体では、前年より 10 件ほど多くご報告いただきました。

f:id:cybozuinsideout:20170623160617p:plain

新しい機能も追加されており、まだまだ「こんな脆弱性あるの?」と思ってしまうような脆弱性も眠っているかもしれません。 社内としてもそんな脆弱性達を撲滅するために新たな企画を考えておりますので、是非バグハンターの方々にもご協力賜りたいです。

アンケートでいただいた質問への回答

アンケートにご協力いただいた皆さま、貴重なフィードバックをありがとうございました。 いただいたご意見は今後の運営に生かすと共に、出来る限り要望にもお応えしていきたいと考えております。

報奨金のお支払い方法の検討

現在、報奨金のお支払いは口座振り込みでのみ行っております。口座振り込み以外で受け取りたいといった方もいらっしゃいましたので、その他のお渡し方法についても検討してまいります。

「脆弱性情報のご報告フォーム」で投稿したら自動返信をしてほしい

HPのご報告フォームに、自動返信の機能を早速設定いたしました。

認定までの期間を改善してほしい

現在は可能な限り 10 営業日以内に評価完了までご連絡できるように努めておりますが、報告が集中したり、報告いただいた内容が複雑だったりした場合には通常よりお時間をいただくケースもございます。ご了承ください。

修正の遅さを改善してほしい

申し訳ございません。セキュリティ品質の向上には日々努めておりますが、改修による影響範囲や脆弱性の与える深刻度によっては、改修が遅れる場合がございます。 また、クラウドサービスに比較してパッケージ製品はリリース間隔が長いため改修に時間がかかる傾向があります。 現在、そのような状況を解決するために開発プロセスの高速化に取り組んでおります。

修正までの期間が短い脆弱性の報奨金を上乗せしてほしい

CVSS の評価では、攻撃の容易度についても評価として考慮しておりますのでご要望にはお応え出来かねます。 また、前項で記載しておりますように、製品によってはリリースの間隔が異なり、改修期間で報奨金の上乗せをするのは難しい状況です。

2017年の取り組み

最大 5倍キャンペーン

最後のご案内になりましたが本日より報奨金の増額キャンペーンを実施いたします。

f:id:cybozuinsideout:20170623135407p:plain

詳細についてはキャンペーンページをご覧ください。

最大5倍キャンペーン

本制度の中では前例にない取り組みとなりますが、弊社の脆弱性に対する発見価値も高まってきており増額に踏み切りました。 対象製品は、Garoon、Office、メールワイズ がそれぞれ倍額。 kintone および、クラウド環境の共通管理画面(ログイン機能を含む)については、通常金額の 5 倍の額といたします。

報奨金獲得者のリアルタイムランキング

ご要望を多くいただいたため、リアルタイムランキングの実施を検討してまいります。 毎日の更新には対応できませんが、週 1 程度でランキングを公式 Twitter アカウント(@CybozuBugBounty)にてご案内いたします。 よろしければフォローをお願いします。最大 5倍キャンペーンで報奨金を獲得された方につきましても、こちらの公式アカウントにてつぶやいていく予定です。

バグハンター合宿

ご要望を多くいただいておりますので、今年の秋頃の開催を目指し検討を進めております。詳細は未定となっておりますが今しばらくお待ち下さい。

今後の活動について

今年の 1 月から Cy-PSIRT は、プロダクトセキュリティを担当するチームと社内のセキュリティ対策を行うチームを編成しました。よりセキュアに、そしてフットワーク軽く活動することを目標にしています。引き続きたくさんの脆弱性報告をお寄せいただけると幸いです。 報奨金制度に限らず「サイボウズにこんな企画してほしい」という要望がございましたら、 productsecurity@cybozu.co.jp までお気軽にご連絡ください。

よろしくお願いします。

脆弱性報奨金制度 | サイボウズ株式会社