Enviar búsqueda
Cargar
報奨金制度の近況について
•
Descargar como PPTX, PDF
•
1 recomendación
•
7,723 vistas
Y
Yuriko Otsuka
Seguir
Cybozu Meetup https://cybozu.connpass.com/event/63652/
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 20
Descargar ahora
Recomendados
とある脆弱性の永い議論
とある脆弱性の永い議論
Mtikutea
Cy-PSIRTの取り組み
Cy-PSIRTの取り組み
Mtikutea
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
Typhon 666
131107 基準コンソーシアム
131107 基準コンソーシアム
robotcare
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D event
Miya Kohno
Recomendados
とある脆弱性の永い議論
とある脆弱性の永い議論
Mtikutea
Cy-PSIRTの取り組み
Cy-PSIRTの取り組み
Mtikutea
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
Typhon 666
131107 基準コンソーシアム
131107 基準コンソーシアム
robotcare
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D event
Miya Kohno
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
Rsj2013 02 nakabo
Rsj2013 02 nakabo
robotcare
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
動画収集調査のススメ20170928(活用編)
動画収集調査のススメ20170928(活用編)
晴生(作成中) 山崎
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
20191016 jbug uso
20191016 jbug uso
ssusera06cae
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Akitsugu Ito
DevLOVE LT: Do you know axes of software testing?
DevLOVE LT: Do you know axes of software testing?
Toshiyuki Kawanishi
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
Connect_GANs_Actor-Critic
Connect_GANs_Actor-Critic
WEBFARMER. ltd.
重要なのはリサーチ・プランニング・プロトタイプの三本柱
重要なのはリサーチ・プランニング・プロトタイプの三本柱
Yuya Toida
すべての人にチームワークを サイボウズのアクセシビリティ
すべての人にチームワークを サイボウズのアクセシビリティ
Kobayashi Daisuke
サイボウズのサービスを支えるログ基盤
サイボウズのサービスを支えるログ基盤
Shin'ya Ueoka
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
S Akai
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
Jumpei Miyata
Kubernetes in 30 minutes (2017/03/10)
Kubernetes in 30 minutes (2017/03/10)
lestrrat
あなたの開発チームには、チームワークがあふれていますか?
あなたの開発チームには、チームワークがあふれていますか?
Yusuke Amano
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
Más contenido relacionado
La actualidad más candente
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
Rsj2013 02 nakabo
Rsj2013 02 nakabo
robotcare
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
動画収集調査のススメ20170928(活用編)
動画収集調査のススメ20170928(活用編)
晴生(作成中) 山崎
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
20191016 jbug uso
20191016 jbug uso
ssusera06cae
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Akitsugu Ito
DevLOVE LT: Do you know axes of software testing?
DevLOVE LT: Do you know axes of software testing?
Toshiyuki Kawanishi
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
Connect_GANs_Actor-Critic
Connect_GANs_Actor-Critic
WEBFARMER. ltd.
La actualidad más candente
(13)
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
Rsj2013 02 nakabo
Rsj2013 02 nakabo
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
動画収集調査のススメ20170928(活用編)
動画収集調査のススメ20170928(活用編)
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
20191016 jbug uso
20191016 jbug uso
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
DevLOVE LT: Do you know axes of software testing?
DevLOVE LT: Do you know axes of software testing?
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Connect_GANs_Actor-Critic
Connect_GANs_Actor-Critic
Destacado
重要なのはリサーチ・プランニング・プロトタイプの三本柱
重要なのはリサーチ・プランニング・プロトタイプの三本柱
Yuya Toida
すべての人にチームワークを サイボウズのアクセシビリティ
すべての人にチームワークを サイボウズのアクセシビリティ
Kobayashi Daisuke
サイボウズのサービスを支えるログ基盤
サイボウズのサービスを支えるログ基盤
Shin'ya Ueoka
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
S Akai
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
Jumpei Miyata
Kubernetes in 30 minutes (2017/03/10)
Kubernetes in 30 minutes (2017/03/10)
lestrrat
あなたの開発チームには、チームワークがあふれていますか?
あなたの開発チームには、チームワークがあふれていますか?
Yusuke Amano
Destacado
(7)
重要なのはリサーチ・プランニング・プロトタイプの三本柱
重要なのはリサーチ・プランニング・プロトタイプの三本柱
すべての人にチームワークを サイボウズのアクセシビリティ
すべての人にチームワークを サイボウズのアクセシビリティ
サイボウズのサービスを支えるログ基盤
サイボウズのサービスを支えるログ基盤
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
Kubernetes in 30 minutes (2017/03/10)
Kubernetes in 30 minutes (2017/03/10)
あなたの開発チームには、チームワークがあふれていますか?
あなたの開発チームには、チームワークがあふれていますか?
Último
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
Último
(10)
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
報奨金制度の近況について
1.
報奨金制度の近況について サイボウズ株式会社 PSIRT 大塚 由梨子
2.
自己紹介 ▌Yuriko Otsuka ▌2009年 入社 ▌東京品質保証部
Cy-PSIRT所属 ▌業務内容 報奨金制度の運営 外部監査・外部検証 のハンドリングと管理 脆弱性の評価 ▌好きなもの 旅行、映画鑑賞、ピアノ、B’z 相棒鑑賞(水谷豊)、踊る大走査線鑑賞(ギバちゃん)
3.
Agenda 1. 報奨金制度の歴史 2. 報奨金制度の近況
(4つの施策) 3. 脆弱性評価の裏側 4. 印象的な報告 (2017年度) 5. 報奨金制度の今後
4.
報奨金制度に参加したことがある人、いますか?
5.
報奨金制度の歴史 ▌2014年 報奨金制度スタート 同年8月、バグハンター合宿を開催 ▌2017年
4年目に突入 3年間の傾向を参考に、複数の施策を検討
6.
報奨金制度の歴史 170件 729万円 92件 386万円 111件 446万円 ▌延べ240名が参加 (制度開始 ~
17年8月現在) ▌年を追うごとに、製品が堅牢な状態に改善されております ▌長らく制度を運用していることによる堅牢なイメージもあり、報告件数が 毎年減少傾向に。
7.
報奨金制度の近況 (4つの施策 ) ▌1.キャンペーンの開始 PSIRTからの提案当初は、「倍額キャンペーン」でした 本部長に報告したところ、もっとやっちゃえば!・・・
と。
8.
ありがとうございます。「5倍」 にしちゃいます。
9.
報奨金制度の近況 (4つの施策 ) https://cybozu.co.jp/products/bug-bounty/pdf/campaign2017.pdf 「最大5倍キャンペーン」スタート
(2017/07/07 ~ 2017/12/20)
10.
報奨金制度の近況 (4つの施策 ) ▌1.キャンペーンの開始
(2017/07/07 ~ 2017/12/20) 最大5倍キャンペーンの影響もあり、報告数は増加傾向。 報告数 :82件 認定数 :41件 報奨金額:4,443,000 円 ※2017年度スタート ~ 8/8 時点。キャンペーンの金額を反映済。 170件 729万円 92件 386万円 111件 446万円
11.
報奨金制度の近況 (4つの施策 ) ▌2.バグハン合宿の開催
11月頃、弊社開催予定!(おそらく 11/3,4) 3年ぶり2度目の開催 途中参加・途中退出OK 宿泊なし バグハン合宿限定の参加者特典についても、検討を進めています。 (合宿限定製品 or 報奨金上乗せ など) より多くの人に興味を持っていただけるよう、弊社の開発者も巻き込み、 鋭意計画中です。
12.
報奨金制度の近況 (4つの施策 ) ▌3.リアルタイムランキングの開始 報奨金制度のランキングを、見える化しました。 前年まで:年度終わりにランキングを公開 本年度
:週に1度、Twitterでランキングを発信 ♯CybozuBugBounty
13.
報奨金制度の近況 (4つの施策 ) ▌4.制度の英語化に対応 海外のバグハンターへのアピールを開始しました。 前年まで:英語版は参加規約のみ。それ以外は全て日本語 本年度
:各ドキュメントの英語版を作成し、公開済。 ※参加資格は、日本語・英語でコミュニケーションできること。 https://cybozu.co.jp/products/bug-bounty/en/
14.
脆弱性の評価の裏側 ▌基本的な流れ 1.着信 :専任メンバーを置き、迅速にやり取りできるよう体制を整えています。 2.受付 :脆弱性情報の管理DBに、報告された内容を登録。 3.評価
:再現確認を実施。再現し、脆弱性と認定できた現象に対して、 CVSS v3 に基づき評価します。 4.クローズ連絡 :認定可否 & 評価結果 & 報奨金 について報告者に連絡 5.クローズ :お支払いなど、事務手続きの合意が取れたらクローズ。 PSIRT 評価・議論 クローズ受付
15.
脆弱性の評価の裏側 ▌「評価」の流れ 1.評価担当者が、CVSS V3 に基づいて評価 2.レビュー担当者が、評価レビューを行う 3.評価担当者が、社内告知を作成 4.レビュー担当者が、告知レビューを行う 5.社内(プロダクト)に、脆弱性と評価結果を告知 6.評価完了 脆弱性の評価、告知の内容ともにレビューを実施しています。 また、CVSS
V3の各項目に弊社独自の「評価指標」も追加し、それに基づいて評 価を実施することで、評価者によって結果が異ならないよう取り組んでいます。
16.
脆弱性の評価の裏側 ▌「評価」の裏側 特別な特権は不要のため、「低」としている 必ず、項目ごとに理由を記載する。 この脆弱性では、攻撃に特定IDは不 要という理由で、「低」としている。 「評価指標」を引用し、理由としている
17.
印象的な出来事 (2017年度) ▌認定翌日、共通仕様に追加 通常はPSIRT内で完結しますが、影響度の高い報告やチーム内で判断できない現象については、 TLM(Tech Lead
Meeting)にて、本部長を含む関係者間で議論(オンライン)されます。 今回、影響度の高い現象が報告され、対応策が共通仕様に追加されました。 PSIRT 評価・議論 TLM 議論 クローズ受付 7/27 評価 開始 7/27 着信 8/16 共通仕様に 8/02 TLMへ 報告 8/15 認定 連絡
18.
報奨金制度の今後 ▌バグハンターの方々にとって魅力的な制度であり続けるよう、様々な施策を 検討していきます。報告の分かりやすさ点など、現在の評価に追加するポイ ント制についても検討中です。 ▌情報発信に力を入れ、日本のみならず海外のバグハンターへもアピールをし ていきます。 ▌迅速なクローズ、検証環境の安定稼働 に引き続き取り組んでいきます。
19.
報奨金制度に参加したくなった人、いますか?
20.
バグハンターの方々と一緒に作り上げていく制度にしていきたいと 考えております。企画や新しい要望等ございましたら、 ご意見いただけますと幸いです。 今後とも、どうぞよろしくお願いいたします。
Descargar ahora