アプリケーションやサービスに潜んでいるセキュリティ脆弱性を漏れなく見つけて潰すにはどうすればいいか---。悩みを抱えているベンダーは多いだろう。利用する側の企業ユーザーにとっても、決して無関心ではいられないトピックである。業務で使うアプリやサービスの安全性をベンダーがどう確保し高めているのか、客観的に評価できる形で知りたい。そう考える企業は多いはずだ。
リリース済みアプリやサービスのセキュリティを高めるための一つの手法として、「脆弱性発見者に対する報奨金制度」というものがある。海外では定着しつつあり、報奨金を専門に狙う「プロのバグハンター」まで登場しているほどだ。国内に目を向けると、報奨金制度を採用するベンダーはまだほとんどない。そんな状況の中、報奨金制度をはじめとする“外部の目や頭脳を借りる”形での脆弱性発見の取り組みを積極的に推進しているのがサイボウズだ。
2日間の合宿で集中的に脆弱性を洗い出す
同社はこれまでも外部の解析者に検証環境を無償で貸し出すなどの施策を実施してきたが、2014年6月に「脆弱性を見つけたら最大100万円」をうたった報奨金制度を始めたところ(関連記事:脆弱性を見つけたら最大100万円謝礼、サイボウズが報奨金制度を開始)、脆弱性の発見件数が一気に約3倍に増えたという。
そのサイボウズが、さらなる脆弱性発見効率の向上などを狙った「次の一手」として2014年8月上旬、「cybozu.comバグハンター合宿」(以下、バグハンター合宿)というイベントを開催した。社外からセキュリティ技術者や研究者を集めて2日間の合宿を行い、脆弱性を集中的に見つけてもらおうというイベントだ。もちろん、見つかった脆弱性に対しては個別に報奨金が支払われる。
サイボウズの伊藤彰嗣氏(グローバル開発本部 品質保証部 CSIRT、写真1)が「単一ベンダーが自社製品の脆弱性発見を目的として、こうした報奨金付きの合宿を開催するのは、少なくとも知る限りにおいて類を見ない」と語るこの取り組み、どういう成果が得られたのか。そして、国内における同種の取り組みに今後どんな影響を与えそうなのか。外部の専門家の意見なども聞きつつ深層を探った。
