Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
cybozu.com
Security Challenge
サイボウズ株式会社
伊藤 彰嗣
自己紹介
∗ サイボウズ株式会社でサービス / プロダクトの脆
弱性検証を行うチームに所属しています
∗ その他、自社のセキュリティ品質の向上のための
活動をしています。
∗ POC 対応
∗ 組織内のセキュリティ全般
∗ Security C...
cybozu.com Security Challenge
∗ 国内商用クラウド初(弊社調べ)の脆弱性発見コ
ンテスト
∗ 外部のセキュリティ専門家の皆様と協調して、
サービス品質を向上させる活動の一環として、脆
弱性発見コンテストを開催するこ...
開催までの経緯
∗ Blog 記事を書きました
∗ cybozu.com Security Challenge ができるまで
∗ http://developer.cybozu.co.jp/tech/?p=6177
∗
∗
∗
∗
∗

サイボ...
開催までの準備
∗
∗
∗
∗
∗
∗
∗
∗
∗

脆弱性ハンドリングポリシーの整備
脆弱性検証を本番環境で行って良いことを表明
脆弱性を発見いただいた方へ謝辞を公開
コンテスト利用規約の策定
コンテストルールブックの作成
賞金支払方法の検討...
開催中の様子

Security Challenge の攻撃者をリアルタイム監視して
みた http://developer.cybozu.co.jp/tech/?p=6397
結果サマリ
∗ 申込人数
∗ 参加人数
%)
∗ 脆弱性情報の報告者数
∗ 賞金獲得者数(予定)
∗ 脆弱性情報の報告件数
∗ 認定された脆弱性の報告数

95 名
75 名(参加率 78
14
10
41
20

名
名
件
件

∗ 報奨金...
結果サマリ
∗ アクティブに検証いただいた方(※ 1 )ののべ人
数は、 75 名でした。
∗ 機械的な検証では無い(※2)アクセスで検証い
ただいたリクエスト総計は 566,931 リクエストで
す。
∗ ※ 1 1日 1,000 リクエスト...
アクセス数推移
アクティブユーザー数推移
検出された脆弱性分布

XSS

認可 / 権限 / アクセス
不備
サイボウズが採用する CWE
CWE-16 環境設定
CWE-20 不適切な入力確認
CWE-22 パストラバーサル
CWE-78 OS コマンドインジェクション
CWE-79 クロスサイト・スクリプティング (XSS) )
CWE-89 SQ...
サイボウズが採用する CWE
∗ CWE-287 不適切な認証
∗ CWE-352 クロスサイト・リクエスト・フォージェリ
( CSRF )
∗ CWE-362 競合状態
∗ CWE-384 Session Fixation
∗ CWE-399...
コンテストで苦労した点
∗ これは脆弱性なのか?
∗ セキュリティ上の脅威の有無?
∗ 不具合と脆弱性の境界にあるようなお問い合わせは
、つど運用チームで議論

∗ ソーシャル攻撃は脆弱性なのか?
∗ 個別の脆弱性は CVSS で評価をすること...
今後の活動
∗ 有識者の方からいただいた知見を社内にフィード
バック
∗ 報告いただいた脆弱性情報を元に、共通仕様を検討
∗ 各プロダクトで、実装 / レビューなどに活用

∗ 社内で行う脆弱性監査の観点に、情報を反映
∗ 脆弱性情報ハンドリン...
今後の活動
∗ 脆弱性報奨金制度の進め方を検討する
∗ コンテスト形式

∗ 短期間で集中して外部の方から報告いただける
∗ 注目度が高い
∗ 作業者の仕事感が半端ない

∗ 常設

∗ 期間に縛られず、検証し報告いただくことができる
∗ 継続...
∗ ご清聴いただきありがとうございました!
Upcoming SlideShare
Loading in …5
×

Cybozu.com Security Challenge 結果速報

600 views

Published on

SECCON 富山大会のパネルディスカッションで利用した資料です。
Cybozu.com Security Challenge について、速報的な資料として集計状況を
まとめています。

Published in: Technology
  • Be the first to comment

Cybozu.com Security Challenge 結果速報

  1. 1. cybozu.com Security Challenge サイボウズ株式会社 伊藤 彰嗣
  2. 2. 自己紹介 ∗ サイボウズ株式会社でサービス / プロダクトの脆 弱性検証を行うチームに所属しています ∗ その他、自社のセキュリティ品質の向上のための 活動をしています。 ∗ POC 対応 ∗ 組織内のセキュリティ全般 ∗ Security Challenge の運営
  3. 3. cybozu.com Security Challenge ∗ 国内商用クラウド初(弊社調べ)の脆弱性発見コ ンテスト ∗ 外部のセキュリティ専門家の皆様と協調して、 サービス品質を向上させる活動の一環として、脆 弱性発見コンテストを開催することにいたしまし た。 ∗ プレスリリース ∗ http://group.cybozu.jp/news/13092401.html
  4. 4. 開催までの経緯 ∗ Blog 記事を書きました ∗ cybozu.com Security Challenge ができるまで ∗ http://developer.cybozu.co.jp/tech/?p=6177 ∗ ∗ ∗ ∗ ∗ サイボウズの脆弱性対応の歴史 サービスにおけるセキュリティインシデントの対応 Cy-SIRT 開催の経緯 開催に向けた準備 etc…
  5. 5. 開催までの準備 ∗ ∗ ∗ ∗ ∗ ∗ ∗ ∗ ∗ 脆弱性ハンドリングポリシーの整備 脆弱性検証を本番環境で行って良いことを表明 脆弱性を発見いただいた方へ謝辞を公開 コンテスト利用規約の策定 コンテストルールブックの作成 賞金支払方法の検討 コンテスト専用の問い合わせ管理システムの作成 取材対応 etc ・・・
  6. 6. 開催中の様子 Security Challenge の攻撃者をリアルタイム監視して みた http://developer.cybozu.co.jp/tech/?p=6397
  7. 7. 結果サマリ ∗ 申込人数 ∗ 参加人数 %) ∗ 脆弱性情報の報告者数 ∗ 賞金獲得者数(予定) ∗ 脆弱性情報の報告件数 ∗ 認定された脆弱性の報告数 95 名 75 名(参加率 78 14 10 41 20 名 名 件 件 ∗ 報奨金合計:120 万円前後 (集計中)
  8. 8. 結果サマリ ∗ アクティブに検証いただいた方(※ 1 )ののべ人 数は、 75 名でした。 ∗ 機械的な検証では無い(※2)アクセスで検証い ただいたリクエスト総計は 566,931 リクエストで す。 ∗ ※ 1 1日 1,000 リクエスト以上の検証を実施いただ いた方 ∗ ※ 2 1日 100,000 リクエスト以上のアクセスが あった場合、機械的なアクセスと判定しました
  9. 9. アクセス数推移
  10. 10. アクティブユーザー数推移
  11. 11. 検出された脆弱性分布 XSS 認可 / 権限 / アクセス 不備
  12. 12. サイボウズが採用する CWE CWE-16 環境設定 CWE-20 不適切な入力確認 CWE-22 パストラバーサル CWE-78 OS コマンドインジェクション CWE-79 クロスサイト・スクリプティング (XSS) ) CWE-89 SQL インジェクション CWE-93 CRLF Injection (メールヘッダ・インジェク ション) ∗ CWE-113 HTTP ヘッダ・インジェクション ∗ CWE-200 情報漏えい ∗ CWE-264 認可・権限・アクセス制御 ∗ ∗ ∗ ∗ ∗ ∗ ∗
  13. 13. サイボウズが採用する CWE ∗ CWE-287 不適切な認証 ∗ CWE-352 クロスサイト・リクエスト・フォージェリ ( CSRF ) ∗ CWE-362 競合状態 ∗ CWE-384 Session Fixation ∗ CWE-399 リソース管理の問題 ∗ CWE-601 オープンリダイレクタ ∗ CWE-614 ログインの不備 - クッキーのセキュア属性不 備 ∗ CWE-Other (その他) ∗ CWE-DesignError (システム設計上の問題)
  14. 14. コンテストで苦労した点 ∗ これは脆弱性なのか? ∗ セキュリティ上の脅威の有無? ∗ 不具合と脆弱性の境界にあるようなお問い合わせは 、つど運用チームで議論 ∗ ソーシャル攻撃は脆弱性なのか? ∗ 個別の脆弱性は CVSS で評価をすることはできる ∗ 社内 / 社外への連絡不足 ∗ メーリングリストの設定不備 orz ∗ コンテスト開始後の工数見積もりが甘かった o..rz
  15. 15. 今後の活動 ∗ 有識者の方からいただいた知見を社内にフィード バック ∗ 報告いただいた脆弱性情報を元に、共通仕様を検討 ∗ 各プロダクトで、実装 / レビューなどに活用 ∗ 社内で行う脆弱性監査の観点に、情報を反映 ∗ 脆弱性情報ハンドリングフロー(脆弱性情報の受付 ~公開)のプロセス改善
  16. 16. 今後の活動 ∗ 脆弱性報奨金制度の進め方を検討する ∗ コンテスト形式 ∗ 短期間で集中して外部の方から報告いただける ∗ 注目度が高い ∗ 作業者の仕事感が半端ない ∗ 常設 ∗ 期間に縛られず、検証し報告いただくことができる ∗ 継続して有益な報告を寄せていただくためには、適切な対 価設計が必要
  17. 17. ∗ ご清聴いただきありがとうございました!

×