サイボウズは2015年1月27日、2014年6月に開始した「脆弱性報奨金制度」に関する説明会を開催した。同制度は、同社の製品サービスについて、社内で検出していない未知の脆弱性を発見・報告した善意の協力者に報奨金を支払うもの。2014年は、6月19日~12月25日の期間に報告を受け付けた。その結果、158件の未知の脆弱性が見つかり、総額687万円の報奨金を支払ったという。2015年は、特定の攻撃に関する脆弱性の報奨金を増額するとともに、報奨金を振り込むまでの期間を短縮する。
同制度は、同社のパッケージ製品とAPI、クラウドサービス基盤「cybozu.com」で稼働する各サービス、同社指定ホームページについて、社内検証や第三者機関による検証で発見されてない未知の脆弱性を、外部の協力者に発見・報告してもらうための仕掛けである。報告された脆弱性について、共通脆弱性評価システム「CVSS v2」の評価結果をもとに、(1)CVSS v2の基本値が7.0以上の場合は基本値×3万円、(2)同6.9以下の場合は基本値×1万円、(3)Webページに関する問題の場合は1件につき一律1万円を報告者に支払う。
脆弱性報告者への報奨金制度は、Google、Microsoft、Facebookなど米ITベンダーが導入しているが、「おそらく国内IT企業では初めて取り組み」(同社 CSIRT グローバル開発本部 品質保証部の伊藤彰嗣氏、写真)だという。
2014年は、6月19日~12月25日の約半年間、脆弱性の報告を受け付けた。その結果、241件の報告が寄せられ、そのうち158件が未知の脆弱性であると認定された。報奨金の支払額は合計687万円だった。伊藤氏によれば、2014年に同社の製品サービスで発見されたすべての脆弱性のうち、外部通報により判明した件数の割合は45%。報奨金制度を導入する前の2013年の外部通報率17%から大幅に上昇した。
2015年は、2月2日~12月25日の期間、脆弱性の報告を受け付ける。今年から、クロスサイトスプリクティング(XSS)、およびSQLインジェクションに関する報奨金を増額する。「CVSS v2では過小評価されるが、XSSおよびSQLインジェクションに関する脆弱性は、影響が広範囲に及ぶ深刻なもの。これらについて、報奨金の算出基準を見直した」(伊藤氏)。具体的には、既存の算出基準「CVSS v2の基本値が7.0以上の場合は基本値×3万円」「同6.9以下の場合は基本値×1万円」に、「CVSS v2の基本値が5.0となるXSS脆弱性は1件10万円」「CVSS v2の基本値が6.5を超えるSQLインジェクションの脆弱性は基本値×3万円」の2つのルールを追加する。
さらに、2015年は、報告した脆弱性が認定されてから報奨金を振り込むまでの期間を短縮する。2014年は「脆弱性を改修し情報公開でき次第支払う」と規定していたが、2015年は「脆弱性情報を一般に公開した」または「脆弱性情報を脆弱性として認定後6カ月が経過した」月の翌月最終営業日に振り込む。
記事公開当初、「cybozu.com」の表記に誤りがありました。お詫びして訂正いたします。本文は修正済みです。[2015/1/28 13:00]
