セキュリティ対策を強化するには社外の力を借りる手もある。社外の力には大きく二つある。一つは以前からある「外注」だ。ユーザー企業やSIベンダーでは手の届かない専門技術について、セキュリティ企業の力を借りる。特にSOC(Security Operation Center)や監査にセキュリティ企業の力を借りる企業は多い。これは今後も変わらないだろう。

 もう一つは「社外のハッカーとの協力関係を築く」というものだ。海外では脆弱性の発見者に対して、報奨金を支払ったり、Webサイトに謝辞を公開したりする制度を運用している企業が多い。米Googleや米Facebook、米Microsoft、米Red Hat、米AT&Tなどが、実施している企業の代表例だ。国内ではサイボウズがクラウドサービス「cybozu.com」について、報奨金制度を実施している。

 高度なセキュリティ技術を持つハッカーを、自社で雇用し続けるのは難しい。多くの企業では、キャリアパスやスキルに見合った仕事を用意できないからだ。個別にコンサルティングを依頼するケースが大部分だが、より多くの専門家の知見を得たい場合は報奨金制度が選択肢になる。

社内だけでは発見できない課題

 サイボウズが報奨金制度を開始したのは2014年6月から。開始から9カ月で約170個の脆弱性が報奨金制度で見つかった。同社は以前から自社内でのセキュリティ対策の強化を続けていた。例えば開発チームにはセキュアプログラミング研修を実施したり、セキュリティ対策をフレームワーク化したりといった対策を進めてきた。全社横断のCSIRTを設置したり、品質保証チームで脆弱性診断を実施したりといった取り組みも実施した。

 2013年5月、十全な対策をしていたはずが、ブログサイトが改ざんされる事件が発生した。事件を受けてセキュリティ対策を見直した結果、浮上したのが、高度なスキルを持つ社外のハッカーの力を借りる仕組みの構築だ。同社の伊藤彰嗣氏(グローバル開発本部 品質保証部 CSIRT)は「自社の取り組みだけでは検知できない脅威があると痛感した。ガイドラインに基づく開発や脆弱性診断は単体のアプリケーションに対するもの。想定外の攻撃方法が残ってしまう」と話す。

 報奨金制度で見つかった脆弱性としては、特定のアプリケーション同士を連携させた際に、APIのエスケープ処理がうまく機能しないという例があった。一つ前のバージョンの静的コンテンツ(Flash)がサイト上に残っていて、それを悪用した攻撃も見つかった。こうしたアプリ間連携で生じる脆弱性や運用上の想定外の脅威は、社内体制の通常業務では発見しづらい(図4)。

図4●社内体制の整備だけでは検知できない脅威
図4●社内体制の整備だけでは検知できない脅威
社内体制の整備で検知できるのは単独のアプリケーション内における既知の脅威に限られる
[画像のクリックで拡大表示]