Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

報奨金制度の近況について

3,384 views

Published on

Cybozu Meetup
https://cybozu.connpass.com/event/63652/

Published in: Technology
  • Be the first to comment

報奨金制度の近況について

  1. 1. 報奨金制度の近況について サイボウズ株式会社 PSIRT 大塚 由梨子
  2. 2. 自己紹介 ▌Yuriko Otsuka ▌2009年 入社 ▌東京品質保証部 Cy-PSIRT所属 ▌業務内容  報奨金制度の運営  外部監査・外部検証 のハンドリングと管理  脆弱性の評価 ▌好きなもの 旅行、映画鑑賞、ピアノ、B’z 相棒鑑賞(水谷豊)、踊る大走査線鑑賞(ギバちゃん)
  3. 3. Agenda 1. 報奨金制度の歴史 2. 報奨金制度の近況 (4つの施策) 3. 脆弱性評価の裏側 4. 印象的な報告 (2017年度) 5. 報奨金制度の今後
  4. 4. 報奨金制度に参加したことがある人、いますか?
  5. 5. 報奨金制度の歴史 ▌2014年 報奨金制度スタート  同年8月、バグハンター合宿を開催 ▌2017年 4年目に突入  3年間の傾向を参考に、複数の施策を検討
  6. 6. 報奨金制度の歴史 170件 729万円 92件 386万円 111件 446万円 ▌延べ240名が参加 (制度開始 ~ 17年8月現在) ▌年を追うごとに、製品が堅牢な状態に改善されております ▌長らく制度を運用していることによる堅牢なイメージもあり、報告件数が 毎年減少傾向に。
  7. 7. 報奨金制度の近況 (4つの施策 ) ▌1.キャンペーンの開始 PSIRTからの提案当初は、「倍額キャンペーン」でした 本部長に報告したところ、もっとやっちゃえば!・・・ と。
  8. 8. ありがとうございます。「5倍」 にしちゃいます。
  9. 9. 報奨金制度の近況 (4つの施策 ) https://cybozu.co.jp/products/bug-bounty/pdf/campaign2017.pdf 「最大5倍キャンペーン」スタート (2017/07/07 ~ 2017/12/20)
  10. 10. 報奨金制度の近況 (4つの施策 ) ▌1.キャンペーンの開始 (2017/07/07 ~ 2017/12/20) 最大5倍キャンペーンの影響もあり、報告数は増加傾向。 報告数 :82件 認定数 :41件 報奨金額:4,443,000 円 ※2017年度スタート ~ 8/8 時点。キャンペーンの金額を反映済。 170件 729万円 92件 386万円 111件 446万円
  11. 11. 報奨金制度の近況 (4つの施策 ) ▌2.バグハン合宿の開催  11月頃、弊社開催予定!(おそらく 11/3,4)  3年ぶり2度目の開催  途中参加・途中退出OK  宿泊なし バグハン合宿限定の参加者特典についても、検討を進めています。 (合宿限定製品 or 報奨金上乗せ など) より多くの人に興味を持っていただけるよう、弊社の開発者も巻き込み、 鋭意計画中です。
  12. 12. 報奨金制度の近況 (4つの施策 ) ▌3.リアルタイムランキングの開始 報奨金制度のランキングを、見える化しました。 前年まで:年度終わりにランキングを公開 本年度 :週に1度、Twitterでランキングを発信 ♯CybozuBugBounty
  13. 13. 報奨金制度の近況 (4つの施策 ) ▌4.制度の英語化に対応 海外のバグハンターへのアピールを開始しました。 前年まで:英語版は参加規約のみ。それ以外は全て日本語 本年度 :各ドキュメントの英語版を作成し、公開済。 ※参加資格は、日本語・英語でコミュニケーションできること。 https://cybozu.co.jp/products/bug-bounty/en/
  14. 14. 脆弱性の評価の裏側 ▌基本的な流れ 1.着信 :専任メンバーを置き、迅速にやり取りできるよう体制を整えています。 2.受付 :脆弱性情報の管理DBに、報告された内容を登録。 3.評価 :再現確認を実施。再現し、脆弱性と認定できた現象に対して、 CVSS v3 に基づき評価します。 4.クローズ連絡 :認定可否 & 評価結果 & 報奨金 について報告者に連絡 5.クローズ :お支払いなど、事務手続きの合意が取れたらクローズ。 PSIRT 評価・議論 クローズ受付
  15. 15. 脆弱性の評価の裏側 ▌「評価」の流れ 1.評価担当者が、CVSS V3 に基づいて評価 2.レビュー担当者が、評価レビューを行う 3.評価担当者が、社内告知を作成 4.レビュー担当者が、告知レビューを行う 5.社内(プロダクト)に、脆弱性と評価結果を告知 6.評価完了 脆弱性の評価、告知の内容ともにレビューを実施しています。 また、CVSS V3の各項目に弊社独自の「評価指標」も追加し、それに基づいて評 価を実施することで、評価者によって結果が異ならないよう取り組んでいます。
  16. 16. 脆弱性の評価の裏側 ▌「評価」の裏側 特別な特権は不要のため、「低」としている 必ず、項目ごとに理由を記載する。 この脆弱性では、攻撃に特定IDは不 要という理由で、「低」としている。 「評価指標」を引用し、理由としている
  17. 17. 印象的な出来事 (2017年度) ▌認定翌日、共通仕様に追加 通常はPSIRT内で完結しますが、影響度の高い報告やチーム内で判断できない現象については、 TLM(Tech Lead Meeting)にて、本部長を含む関係者間で議論(オンライン)されます。 今回、影響度の高い現象が報告され、対応策が共通仕様に追加されました。 PSIRT 評価・議論 TLM 議論 クローズ受付 7/27 評価 開始 7/27 着信 8/16 共通仕様に 8/02 TLMへ 報告 8/15 認定 連絡
  18. 18. 報奨金制度の今後 ▌バグハンターの方々にとって魅力的な制度であり続けるよう、様々な施策を 検討していきます。報告の分かりやすさ点など、現在の評価に追加するポイ ント制についても検討中です。 ▌情報発信に力を入れ、日本のみならず海外のバグハンターへもアピールをし ていきます。 ▌迅速なクローズ、検証環境の安定稼働 に引き続き取り組んでいきます。
  19. 19. 報奨金制度に参加したくなった人、いますか?
  20. 20. バグハンターの方々と一緒に作り上げていく制度にしていきたいと 考えております。企画や新しい要望等ございましたら、 ご意見いただけますと幸いです。 今後とも、どうぞよろしくお願いいたします。

×