サイボウズ、商用サービスを対象とした脆弱性発見コンテストを開催国内の脆弱性研究や届け出のあり方に変化も?

サイボウズは2013年9月24日、同社が提供しているクラウドサービスの品質向上を目的とした脆弱性発見コンテスト「cybozu.com Security Challenge」を11月に開催することを発表した。

» 2013年09月24日 22時43分 公開
[高橋睦美,@IT]

 サイボウズは2013年9月24日、同社が提供しているクラウドサービスの品質向上を目的とした脆弱性発見コンテスト「cybozu.com Security Challenge」を11月に開催することを発表した。商用クラウドサービスを対象とした脆弱性発見コンテストは国内では初の試みといい、発見者には総額300万円の賞金が贈呈される。

 サイボウズは、独自に開発したクラウド基盤「cybozu.com」をベースに「サイボウズ Office」「kintone」といったクラウドサービスを提供している。cybozu.com Security Challengeは、これらのクラウドサービスを対象に、未知の脆弱性を見付る能力を競うコンテストだ。

 コンテストは11月11日11時11分から11月25日午後6時までの間、本番環境とは別の専用検証環境においてオンラインで実施する。参加者が見付けた問題が脆弱性として認定されると評価ポイントが付与され、そのポイント数を競う仕組みだ。募集人数は150名で、募集期限は10月11日まで。評価ポイントに応じて総額300万円の報奨金が贈呈され、上位者には賞金が上乗せされるという。

 サイボウズは今後、脆弱性の報告者に報奨金を贈呈するプログラムを常設する予定という。

日本の脆弱性研究を取り巻く環境に一石を投じるか

 cybozu.com Security Challengeには、情報セキュリティスキルを競うイベント「SECCON」も協力している。上位入賞者は2014年3月に開催される「SECCON 全国大会」で招待プレゼンテーションを行う予定だ。

 SECCON実行委員の1人である園田道夫氏(サイバー大学准教授、JNSA研究員)は今回の取り組みについて、「脆弱性そのものの研究や、それを攻撃するシナリオの研究がどこかタブー視されていたこれまでの空気が変わり、研究に値する分野だという考え方が広がるきっかけになるとうれしい」とコメント。脆弱性研究に関する知見が広がり、もっとカジュアルになれば、テストの品質向上だけでなく予防の仕組みの洗練につながり、良い効果が生まれるのではないかとしている。

 サービス事業者自身がこうした取り組みを実施することが、脆弱性指摘という行為に対する日本企業の見方を変える可能性もある。

 現在、日本の企業においては、第三者が脆弱性を指摘する行為は必ずしも歓迎されないほか、受け取った脆弱性情報をどのように取り扱えばいいのか、頭を悩ませることもあるという。しかし「本来ならばお金を払って検査を受け、脆弱性を指摘してもらうところをボランティアでやってくれるのだから、もったいない話」と園田氏。事実海外では、MicrosoftやGoogle、Facebookをはじめ多くの企業が報奨金を用意し、自社製品やサービスに存在する脆弱性の発見を後押ししている。

 「情報のハンドリングを誤らず、適切な期間で対応できる企業ならば、脆弱性を指摘してもらうことにはプラス面が多いと思う。こういうコンテストや、そこに名乗りを上げる企業や組織が増え、一方でIPAやJPCERT/CCによる脆弱性届出制度が維持されるならば、日本のセキュリティを巡る状況が好転する可能性がある」(同氏)。

 なお今回のサイボウズの取り組みとは別に、11月に東京で開催予定のセキュリティカンファレンス「PacSec」では、ヒューレット・パッカードのZero Day Initiative(ZDI)やGoogleのAndroidセキュリティチーム、BlackBerryなどの支援で「Mobile Pwn20wn」という脆弱性発見コンテストが開催される予定だ。文字通りモバイルデバイスの脆弱性が対象で、賞金総額は30万ドルに上るという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。