YO
Uploaded byYuriko Otsuka
PPTX, PDF7,776 views

報奨金制度の近況について

Cybozu Meetup https://cybozu.connpass.com/event/63652/

Embed presentation

Downloaded 10 times
報奨金制度の近況について サイボウズ株式会社 PSIRT 大塚 由梨子
自己紹介 ▌Yuriko Otsuka ▌2009年 入社 ▌東京品質保証部 Cy-PSIRT所属 ▌業務内容  報奨金制度の運営  外部監査・外部検証 のハンドリングと管理  脆弱性の評価 ▌好きなもの 旅行、映画鑑賞、ピアノ、B’z 相棒鑑賞(水谷豊)、踊る大走査線鑑賞(ギバちゃん)
Agenda 1. 報奨金制度の歴史 2. 報奨金制度の近況 (4つの施策) 3. 脆弱性評価の裏側 4. 印象的な報告 (2017年度) 5. 報奨金制度の今後
報奨金制度に参加したことがある人、いますか?
報奨金制度の歴史 ▌2014年 報奨金制度スタート  同年8月、バグハンター合宿を開催 ▌2017年 4年目に突入  3年間の傾向を参考に、複数の施策を検討
報奨金制度の歴史 170件 729万円 92件 386万円 111件 446万円 ▌延べ240名が参加 (制度開始 ~ 17年8月現在) ▌年を追うごとに、製品が堅牢な状態に改善されております ▌長らく制度を運用していることによる堅牢なイメージもあり、報告件数が 毎年減少傾向に。
報奨金制度の近況 (4つの施策 ) ▌1.キャンペーンの開始 PSIRTからの提案当初は、「倍額キャンペーン」でした 本部長に報告したところ、もっとやっちゃえば!・・・ と。
ありがとうございます。「5倍」 にしちゃいます。
報奨金制度の近況 (4つの施策 ) https://cybozu.co.jp/products/bug-bounty/pdf/campaign2017.pdf 「最大5倍キャンペーン」スタート (2017/07/07 ~ 2017/12/20)
報奨金制度の近況 (4つの施策 ) ▌1.キャンペーンの開始 (2017/07/07 ~ 2017/12/20) 最大5倍キャンペーンの影響もあり、報告数は増加傾向。 報告数 :82件 認定数 :41件 報奨金額:4,443,000 円 ※2017年度スタート ~ 8/8 時点。キャンペーンの金額を反映済。 170件 729万円 92件 386万円 111件 446万円
報奨金制度の近況 (4つの施策 ) ▌2.バグハン合宿の開催  11月頃、弊社開催予定!(おそらく 11/3,4)  3年ぶり2度目の開催  途中参加・途中退出OK  宿泊なし バグハン合宿限定の参加者特典についても、検討を進めています。 (合宿限定製品 or 報奨金上乗せ など) より多くの人に興味を持っていただけるよう、弊社の開発者も巻き込み、 鋭意計画中です。
報奨金制度の近況 (4つの施策 ) ▌3.リアルタイムランキングの開始 報奨金制度のランキングを、見える化しました。 前年まで:年度終わりにランキングを公開 本年度 :週に1度、Twitterでランキングを発信 ♯CybozuBugBounty
報奨金制度の近況 (4つの施策 ) ▌4.制度の英語化に対応 海外のバグハンターへのアピールを開始しました。 前年まで:英語版は参加規約のみ。それ以外は全て日本語 本年度 :各ドキュメントの英語版を作成し、公開済。 ※参加資格は、日本語・英語でコミュニケーションできること。 https://cybozu.co.jp/products/bug-bounty/en/
脆弱性の評価の裏側 ▌基本的な流れ 1.着信 :専任メンバーを置き、迅速にやり取りできるよう体制を整えています。 2.受付 :脆弱性情報の管理DBに、報告された内容を登録。 3.評価 :再現確認を実施。再現し、脆弱性と認定できた現象に対して、 CVSS v3 に基づき評価します。 4.クローズ連絡 :認定可否 & 評価結果 & 報奨金 について報告者に連絡 5.クローズ :お支払いなど、事務手続きの合意が取れたらクローズ。 PSIRT 評価・議論 クローズ受付
脆弱性の評価の裏側 ▌「評価」の流れ 1.評価担当者が、CVSS V3 に基づいて評価 2.レビュー担当者が、評価レビューを行う 3.評価担当者が、社内告知を作成 4.レビュー担当者が、告知レビューを行う 5.社内(プロダクト)に、脆弱性と評価結果を告知 6.評価完了 脆弱性の評価、告知の内容ともにレビューを実施しています。 また、CVSS V3の各項目に弊社独自の「評価指標」も追加し、それに基づいて評 価を実施することで、評価者によって結果が異ならないよう取り組んでいます。
脆弱性の評価の裏側 ▌「評価」の裏側 特別な特権は不要のため、「低」としている 必ず、項目ごとに理由を記載する。 この脆弱性では、攻撃に特定IDは不 要という理由で、「低」としている。 「評価指標」を引用し、理由としている
印象的な出来事 (2017年度) ▌認定翌日、共通仕様に追加 通常はPSIRT内で完結しますが、影響度の高い報告やチーム内で判断できない現象については、 TLM(Tech Lead Meeting)にて、本部長を含む関係者間で議論(オンライン)されます。 今回、影響度の高い現象が報告され、対応策が共通仕様に追加されました。 PSIRT 評価・議論 TLM 議論 クローズ受付 7/27 評価 開始 7/27 着信 8/16 共通仕様に 8/02 TLMへ 報告 8/15 認定 連絡
報奨金制度の今後 ▌バグハンターの方々にとって魅力的な制度であり続けるよう、様々な施策を 検討していきます。報告の分かりやすさ点など、現在の評価に追加するポイ ント制についても検討中です。 ▌情報発信に力を入れ、日本のみならず海外のバグハンターへもアピールをし ていきます。 ▌迅速なクローズ、検証環境の安定稼働 に引き続き取り組んでいきます。
報奨金制度に参加したくなった人、いますか?
バグハンターの方々と一緒に作り上げていく制度にしていきたいと 考えております。企画や新しい要望等ございましたら、 ご意見いただけますと幸いです。 今後とも、どうぞよろしくお願いいたします。

More Related Content

PPTX
とある脆弱性の永い議論
byMtikutea
 
PPTX
Cy-PSIRTの取り組み
byMtikutea
 
PPTX
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
byTyphon 666
 
PDF
131107 基準コンソーシアム
byrobotcare
 
PDF
20210404_SECURITY_MELT
byTyphon 666
 
PDF
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
PDF
脆弱性診断って何をどうすればいいの?(おかわり)
by脆弱性診断研究会
 
PDF
Career - design, adaption and diversity - for EMC I&D event
byMiya Kohno
 
とある脆弱性の永い議論
byMtikutea
 
Cy-PSIRTの取り組み
byMtikutea
 
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
byTyphon 666
 
131107 基準コンソーシアム
byrobotcare
 
20210404_SECURITY_MELT
byTyphon 666
 
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
脆弱性診断って何をどうすればいいの?(おかわり)
by脆弱性診断研究会
 
Career - design, adaption and diversity - for EMC I&D event
byMiya Kohno
 

What's hot

PDF
脆弱性情報はこうしてやってくる
byJPCERT Coordination Center
 
PDF
Rsj2013 02 nakabo
byrobotcare
 
PDF
MongoDBの脆弱性診断 - smarttechgeeks
bytobaru_yuta
 
PDF
動画収集調査のススメ20170928(活用編)
by晴生 山崎
 
PDF
Webアプリケーション脆弱性診断について
bytobaru_yuta
 
PDF
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
bytobaru_yuta
 
PPTX
脆弱性診断研究会 第34回セミナー資料
by脆弱性診断研究会
 
PDF
20191016 jbug uso
byssusera06cae
 
PDF
米国のペネトレーションテスト事情(ssmjp)
byTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
PPTX
cybozu.com Security Challenge 結果報告
byAkitsugu Ito
 
PDF
DevLOVE LT: Do you know axes of software testing?
byToshiyuki Kawanishi
 
PPTX
20190418 About the concept of intra-organization release approval flow in wat...
byTyphon 666
 
PDF
Connect_GANs_Actor-Critic
byWEBFARMER. ltd.
 
脆弱性情報はこうしてやってくる
byJPCERT Coordination Center
 
Rsj2013 02 nakabo
byrobotcare
 
MongoDBの脆弱性診断 - smarttechgeeks
bytobaru_yuta
 
動画収集調査のススメ20170928(活用編)
by晴生 山崎
 
Webアプリケーション脆弱性診断について
bytobaru_yuta
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
bytobaru_yuta
 
脆弱性診断研究会 第34回セミナー資料
by脆弱性診断研究会
 
20191016 jbug uso
byssusera06cae
 
米国のペネトレーションテスト事情(ssmjp)
byTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
cybozu.com Security Challenge 結果報告
byAkitsugu Ito
 
DevLOVE LT: Do you know axes of software testing?
byToshiyuki Kawanishi
 
20190418 About the concept of intra-organization release approval flow in wat...
byTyphon 666
 
Connect_GANs_Actor-Critic
byWEBFARMER. ltd.
 

Viewers also liked

PPTX
重要なのはリサーチ・プランニング・プロトタイプの三本柱
byYuya Toida
 
PPTX
すべての人にチームワークを サイボウズのアクセシビリティ
byKobayashi Daisuke
 
PDF
サイボウズのサービスを支えるログ基盤
byShin'ya Ueoka
 
PDF
遅いクエリと向き合う仕組み #CybozuMeetup
byS Akai
 
PDF
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
byJumpei Miyata
 
PDF
Kubernetes in 30 minutes (2017/03/10)
bylestrrat
 
PDF
あなたの開発チームには、チームワークがあふれていますか?
byYusuke Amano
 
重要なのはリサーチ・プランニング・プロトタイプの三本柱
byYuya Toida
 
すべての人にチームワークを サイボウズのアクセシビリティ
byKobayashi Daisuke
 
サイボウズのサービスを支えるログ基盤
byShin'ya Ueoka
 
遅いクエリと向き合う仕組み #CybozuMeetup
byS Akai
 
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
byJumpei Miyata
 
Kubernetes in 30 minutes (2017/03/10)
bylestrrat
 
あなたの開発チームには、チームワークがあふれていますか?
byYusuke Amano
 

Recently uploaded

PDF
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
PDF
PMBOK 7th Edition Project Management Process Scrum
byakipii ogaoga
 
PDF
自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)
byYuto Matsuda
 
PDF
FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard
byakipii ogaoga
 
PDF
Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...
byakipii ogaoga
 
PDF
PMBOK 7th Edition_Project Management Process_WF Type Development
byakipii ogaoga
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
PDF
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
PDF
ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf
byakipii ogaoga
 
PDF
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
PDF
PMBOK 7th Edition_Project Management Context Diagram
byakipii ogaoga
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
PDF
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
PMBOK 7th Edition Project Management Process Scrum
byakipii ogaoga
 
自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)
byYuto Matsuda
 
FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard
byakipii ogaoga
 
Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...
byakipii ogaoga
 
PMBOK 7th Edition_Project Management Process_WF Type Development
byakipii ogaoga
 
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf
byakipii ogaoga
 
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
PMBOK 7th Edition_Project Management Context Diagram
byakipii ogaoga
 
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 

報奨金制度の近況について