サイボウズは2013年11月11日から11月25日まで、自社のクラウドサービスを対象に脆弱性発見コンテスト「cybozu.com Security Challenge」を開催する(関連記事)。同社のクラウドアプリ開発・実行基盤「kintone」について、コンテスト参加者が実際に攻撃してみて弱点を見つけるものだ。賞金総額は300万円。発見した脆弱性の数や深刻さに応じて評価ポイントを付けて、ポイントに応じて賞金を配分する。コンテストを運営しているサイボウズの伊藤彰嗣氏に舞台裏を聞いた(聞き手は白井 良=日経コミュニケーション)。
脆弱性発見コンテストを開催する狙いは何か。
外部の方々と良い関係を築いて、サイボウズ全体のセキュリティレベルを上げていきたいという思いがコンテストの根底にある。
これまでもサービスごとに少なくとも年間1回は、外部事業者によるセキュリティ監査を実施してきた。もちろん社内でも必要に応じて検証をしている。規定したセキュリティ要件を満たしているか、サービスのリリースごとに品質保証部で試験をしている。
しかし、セキュリティインシデントは大量にあり、これだけでは限界がある。社内にセキュリティの専門家が何人もいるわけではない。
実はCSIRT(セキュリティインシデントに対応する社内チーム)では、2010年にも脆弱性発見コンテストについて検討していた。海外のソフトベンダーやクラウド事業者で、脆弱性の報告者に報奨金を支払うプログラムが一般的になっていたからだ。ただ、その段階では国内の世情が追いついていないという判断と、社内体制が準備できていないことから見送りになった。
今回実施に至ったのは、諸々のタイミングが合致したからだ。まず、ユーザーのセキュリティへの関心が高まったことがある。セキュリティインシデントに対応するため、様々な手を打つことを当然と見なすようになってきた。
社内体制も整った。今年3月、当社のブログが改ざんされる事件があった。これを受けて、全社的なセキュリティに関する問題を議論する組織「サイボウズセキュリティミーティング」(CSM)を発足した。技術にフォーカスしたCSIRTと、全社的に統制できるCSMが両輪となって動けるようになった。
サイボウズ・ラボの竹迫良範氏がSECCON(国内のセキュリティ専門家が運営するセキュリティイベント)の委員長をしているつながりがあり、SECCONと協力できることになったのも大きい。
どういった人が何人参加するのか。
95人が参加する。当初想定の2倍だ。全員、個人としての参加となる。今回のコンテストでは、企業メンバーとしてのエントリーは避けてもらうことを条件とした。個別のプロフィールを詳しくは聞いていないが、セキュリティを業務とする方ばかりではないようだ。
コンテストを開催すると公表した段階で興味を持ってもらって、個別に指摘をくれた研究者の方もいる。この事実だけでもコンテストの成果があったと、個人的には思っている。
参加者には2企業分の管理者アカウントを払い出す。片方の企業からもう一つの企業に「ゲスト」として参加する機能を追加したため、配布するアカウントの数を2企業分とした。サンプルデータが入った状態で参加者に渡す。