ヌーラボは、脆弱(ぜいじゃく)性報告窓口設置ツール「IssueHunt VDP」を導入した。同ツールを提供する IssueHuntが発表した。
VDP(Vulnerability Disclosure Program)は「脆弱性開示プログラム」のことで、第三者が脆弱性を発見した際に脆弱性を報告できる窓口を設置することで、それらの脆弱性を悪用される前に修正できるようにする。
IssueHunt VDPでは、これまでCSIRT(Computer Security Incident Response Team)やセキュリティチームの公開メールアドレス、カスタマーサポート、担当者のSNSのダイレクトメッセージ(DM)などに送られていた脆弱性報告を、VDPに集約することで効率的に管理できるようになるという。
また脆弱性に特化したフォームの作成や設置、報告者とメッセージをできる機能や、報告者への謝辞、脆弱性を公開する機能といったVDPに必要な機能を全てノーコードで実装できる。さらに受け取った報告はダッシュボード内に蓄積され、ステータス(対応待ち・改善済み等)を可視化し、チームで共有できるという。
なおIssueHuntでは、社内にセキュリティの知見を有する人がいない場合や、セキュリティチームが多忙の場合は、同社のサポートチームが運用を代行する。
クラウドサービスを主要な事業としているヌーラボでは、脆弱性の早期発見と迅速な対処を行うため、導線整備をする必要があり、IssueHunt VDPを導入した。また「security.txt」に報告窓口を記載するために自社のVDPを整備する必要性も感じていたという。
同社はこれまで、問い合わせフォームで脆弱性報告を受け取っており、サービスに関する問い合わせなどと情報が混在してしまい、内容に応じて社内の担当組織に割り振る手間が発生していた。
同社によると、報告者側の立場では仮に脆弱性を発見してもほとんどの場合が報告に至らないケースが多いという。しかし、VDPを導入し、報告者側が報告しやすい導線を整えることで脆弱性の報告を受け取れる可能性が高まると考え、導入に至った。
