SECCON 富山大会のパネルディスカッションで利用した資料です。 Cybozu.com Security Challenge について、速報的な資料として集計状況を まとめています。

1. cybozu.com
Security Challenge
サイボウズ株式会社
伊藤 彰嗣

2. 自己紹介
∗ サイボウズ株式会社でサービス / プロダクトの脆
弱性検証を行うチームに所属しています
∗ その他、自社のセキュリティ品質の向上のための
活動をしています。
∗ POC 対応
∗ 組織内のセキュリティ全般
∗ Security Challenge の運営

3. cybozu.com Security Challenge
∗ 国内商用クラウド初（弊社調べ）の脆弱性発見コ
ンテスト
∗ 外部のセキュリティ専門家の皆様と協調して、
サービス品質を向上させる活動の一環として、脆
弱性発見コンテストを開催することにいたしまし
た。
∗ プレスリリース
∗ http://group.cybozu.jp/news/13092401.html

4. 開催までの経緯
∗ Blog 記事を書きました
∗ cybozu.com Security Challenge ができるまで
∗ http://developer.cybozu.co.jp/tech/?p=6177
∗
∗
∗
∗
∗
サイボウズの脆弱性対応の歴史
サービスにおけるセキュリティインシデントの対応
Cy-SIRT
開催の経緯
開催に向けた準備 etc…

5. 開催までの準備
∗
∗
∗
∗
∗
∗
∗
∗
∗
脆弱性ハンドリングポリシーの整備
脆弱性検証を本番環境で行って良いことを表明
脆弱性を発見いただいた方へ謝辞を公開
コンテスト利用規約の策定
コンテストルールブックの作成
賞金支払方法の検討
コンテスト専用の問い合わせ管理システムの作成
取材対応
etc ・・・

6. 開催中の様子
Security Challenge の攻撃者をリアルタイム監視して
みた http://developer.cybozu.co.jp/tech/?p=6397

7. 結果サマリ
∗ 申込人数
∗ 参加人数
%）
∗ 脆弱性情報の報告者数
∗ 賞金獲得者数（予定）
∗ 脆弱性情報の報告件数
∗ 認定された脆弱性の報告数
95 名
75 名（参加率 78
14
10
41
20
名
名
件
件
∗ 報奨金合計：１２０ 万円前後 （集計中）

8. 結果サマリ
∗ アクティブに検証いただいた方（※ 1 ）ののべ人
数は、 75 名でした。
∗ 機械的な検証では無い（※２）アクセスで検証い
ただいたリクエスト総計は 566,931 リクエストで
す。
∗ ※ １ １日 1,000 リクエスト以上の検証を実施いただ
いた方
∗ ※ ２ １日 100,000 リクエスト以上のアクセスが
あった場合、機械的なアクセスと判定しました

9. アクセス数推移

10. アクティブユーザー数推移

11. 検出された脆弱性分布
XSS
認可 / 権限 / アクセス
不備

12. サイボウズが採用する CWE
CWE-16 環境設定
CWE-20 不適切な入力確認
CWE-22 パストラバーサル
CWE-78 OS コマンドインジェクション
CWE-79 クロスサイト・スクリプティング (XSS) ）
CWE-89 SQL インジェクション
CWE-93 CRLF Injection （メールヘッダ・インジェク
ション）
∗ CWE-113 HTTP ヘッダ・インジェクション
∗ CWE-200 情報漏えい
∗ CWE-264 認可・権限・アクセス制御
∗
∗
∗
∗
∗
∗
∗

13. サイボウズが採用する CWE
∗ CWE-287 不適切な認証
∗ CWE-352 クロスサイト・リクエスト・フォージェリ
（ CSRF ）
∗ CWE-362 競合状態
∗ CWE-384 Session Fixation
∗ CWE-399 リソース管理の問題
∗ CWE-601 オープンリダイレクタ
∗ CWE-614 ログインの不備 - クッキーのセキュア属性不
備
∗ CWE-Other （その他）
∗ CWE-DesignError （システム設計上の問題）

14. コンテストで苦労した点
∗ これは脆弱性なのか？
∗ セキュリティ上の脅威の有無？
∗ 不具合と脆弱性の境界にあるようなお問い合わせは
、つど運用チームで議論
∗ ソーシャル攻撃は脆弱性なのか？
∗ 個別の脆弱性は CVSS で評価をすることはできる
∗ 社内 / 社外への連絡不足
∗ メーリングリストの設定不備 orz
∗ コンテスト開始後の工数見積もりが甘かった o..rz

15. 今後の活動
∗ 有識者の方からいただいた知見を社内にフィード
バック
∗ 報告いただいた脆弱性情報を元に、共通仕様を検討
∗ 各プロダクトで、実装 / レビューなどに活用
∗ 社内で行う脆弱性監査の観点に、情報を反映
∗ 脆弱性情報ハンドリングフロー（脆弱性情報の受付
～公開）のプロセス改善

16. 今後の活動
∗ 脆弱性報奨金制度の進め方を検討する
∗ コンテスト形式
∗ 短期間で集中して外部の方から報告いただける
∗ 注目度が高い
∗ 作業者の仕事感が半端ない
∗ 常設
∗ 期間に縛られず、検証し報告いただくことができる
∗ 継続して有益な報告を寄せていただくためには、適切な対
価設計が必要

17. ∗ ご清聴いただきありがとうございました！