サイボウズの脆弱性報奨金制度は「社内では検出されないような未知の脅威への対策です。外部のバグ発見者の善意による報告であり、これで脆弱性発見の幅を広げるものです」と言うのは、サイボウズ 品質保証部 伊藤顕嗣氏だ。サイボウズは、通称「バグハンター」と呼ばれる社外のハッカーから、製品やサービスの脆弱性を報告してもらい、その深刻度に応じ報奨金を払う制度を実施している。1月28日、2015年の同制度の結果報告が行われた。
サイボウズ 品質保証部 伊藤顕嗣氏
2015年は238件の脆弱性の連絡があり、116件を脆弱性として認定。うち1件は深刻度レベルIIIと高いものだった。これに対し報告者に支払う報奨金は、およそ600万円になる予定とのこと。78件の報告については現在まだ評価中であり、報奨金の額は今後少し増えることになりそうだ。
報告された脆弱性の認定率は65%で、報奨金の最高額は21万3000円、報奨金の平均額は3万4801円となっている。また1人で獲得した報償金の最高額は92万1000円だった。2014年と比較して、脆弱性の報告件数は減少している。深刻度の高い脆弱性も10件から1件へと大きく減少しており、この結果はサイボウズ製品やサービスのセキュリティ性は高まっているととらえていいのだろう。
とはいえ、認定した脆弱性のうち2014年は81件を改修できたが、2015年は45件に止まっている。「ここは今後改善すべきポイントです」と伊藤氏は言う。
報告された脆弱性は、2014年はクロスサイトスクリプティングが56件と多く、重要な情報の漏洩にもつながりやすいSQLインジェクションも2件あった。これが2015年は、クロスサイトスクリプティングは24件に減少しSQLインジェクションの報告はなくなっている。
2015年に数的に多かったのは不適切な入力の確認で、こちらは前年の18件から27件に増加した。傾向としてはクロスサイトスクリプティングなど手法が明らかで典型的とも言える脆弱性の報告が減っている一方で、脆弱性が複雑化しており、サイボウズ側で脆弱性と把握していない、あるいは把握するのが難しいものが増えていると言う。
2016年の報奨金制度では、新たにモバイルサービスが2件、周辺サービスである「サイボウズ Desktop」の3つが報告対象に加わっている。2016年の制度でもっとも大きな変更は、脆弱性の評価方法が共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)のv2からv3に変更されることだ。
これにより攻撃の難易度および攻撃の影響度を掛け合わせた形で深刻度を評価することになる。評価方法の変更により、認定する件数は今後若干増えることになりそうだと伊藤氏は説明する。
CVSS v3への変更に合わせ報奨金獲得テーブルも変更された。「より深刻度の高い脆弱性については、報奨金額を増加しています」と伊藤氏。CVSSの評価で「緊急」レベルの脆弱性については「CVSS v3の基本値×5万円」となっている。