企業が自社ソフトウェアやWebアプリケーションなどの脆弱性を発見する方法のひとつに、脆弱性を報告してくれた技術者に対し報奨金を支払う「バグ バウンティ プログラム」がある。
海外で成立した仕組みだが、国内でも最近、サイボウズ株式会社や LINE 株式会社などで実施が進み、一定の成果を挙げることに成功している。脆弱性を探し出す技術者は「バグハンター」と呼ばれ、これまで本誌で報じたように、高額報奨金を受け取るハンターも存在する。
セキュリティ技術に感心の深いエンジニアが、技術を研鑽することを目的に、主に個人の活動としてバグハンティングに取り組むケースが多い一方、脆弱性診断事業などを行う三井物産セキュアディレクション株式会社(以下 MBSD )は、バグハンターを企業として積極的に育てているという。同社 プロフェッショナルサービス事業部 部長 武井 寿彦 氏に話を聞いた。
●企業として過去半年で最多の報告数
――日本の脆弱性報告管理システムである JVN への報告件数を見ると、MBSDが他のセキュリティ企業より多いですね。
2016年4月1日から6月24日までの間にJVNで公表された脆弱性報告のうち17件をMBSDのエンジニアが発見し、日本のセキュリティ企業として最多となりました。単に件数だけでなく、その中には深刻度の高い脆弱性が含まれています。また、計8名の当社エンジニアが報告を行っており、ひとつの企業からの報告人数として最多です。
――脆弱性を探すバグハンティングを、会社の業務として認めている理由はなんですか。
MBSD は、ネットワークや Web アプリケーションなどのセキュリティ診断事業を行っています。診断会社として高い水準のサービスを提供するための条件がいくつかあると考えているのですが、「脆弱性発見能力」はそのなかで、最も重要な要素と思うからです。
●いいセキュリティ診断会社とは
――そもそも、いいセキュリティ診断会社の条件を、MBSDではどう定義しているのですか。
まず事業として、リセラーのような製品の物販だけではなく、サービスを提供できるかどうかが重要となります。また、体制として、診断を行う充分な数の技術者が在席していることも大切です。技術力は技術者の数にある程度比例するからです。
また、診断手法として、既成の診断ツールを回すだけでなく、診断員による目視と手動操作による攻撃試行を行うかどうかや、より深い診断のために自社で開発したツールを持っているかどうか、そして、診断終了後の報告書に、具体的対策まできちんと提案されているかどうか等もポイントとなると思います。
加えて、サイバー攻撃の生の実態を情報共有するプラットフォームとなる、セキュリティオペレーションセンター(SOC)を運営していると望ましいでしょう。
MBSD はこれらの条件を満たすことに加えて、診断員が新しいバグを発見する能力を最重要視しています。
なぜなら「攻撃は最大の防御」という言葉通りで、当社は「守る力」イコール「攻撃する力」と考えます。相手の攻撃手法を勉強していなければ、顧客のシステムを守ることなどできません。
●バグバウンティで獲得した1,000万円を超える賞金は担当者が受け取り
――広範に脆弱性の発見能力を磨く活動をしていますね。
国際的なサイバー攻撃の実証コンテスト「Mobile Pwn2Own 2014」に、MBSDのエンジニアだけで構成されたチーム「Team MBSD」として参加して、前年の「Mobile Pwn2Own 2013」につづいて2年連続で入賞することができました。また、2013年に公表された脆弱性のなかでも深刻度と影響範囲が大きかった「Apache Struts において任意のコマンドを実行される脆弱性(CVSS7.5)」を弊社エンジニアが国内で最初に報告しています。他にも、Google Chrome の脆弱性発見など、弊社エンジニアが国内外で多くの実績を上げています。
――Mobile Pwn2Own は賞金が高額なことでも有名です。
2013年のGalaxy S4最新版のゼロデイ脆弱性を発見した際は、5万USドル、2014年のGalaxy S5最新版のゼロデイ脆弱性発見では、6万USドルの賞金を獲得しています。
――あわせて1,000万円近い額ですが、その賞金は誰がどのように受け取ったのですか?
弊社エンジニアがコンテストやバグバウンティで獲得した賞金や報奨金は、全てその実務に携わったエンジニア個人、チームメンバーが受け取ります。彼らのモチベーション向上の要因になっているようです(笑)。
――そういった業績は評価や報酬に反映されるのですか。
弊社では、申請をすれば業務の20%を研究時間に充てることが可能で、脆弱性発見を自己啓発の目標として掲げているエンジニアは、評価の対象となることもあります。
●セキュリティ専門企業だからできるエンジニア育成
――会社としてバグバウンティやコンテストに取り組むメリットは何でしょう。
ITの中でもセキュリティは異質な領域だと私は考えています。セキュリティというのは攻撃を仕掛けてくる「敵」が必ず存在するんですね。通常のITでは、イノベーションや効率化、成長、利益などが重視されますが、そこにはルールや法律の埒外にある「敵」が存在しません。セキュリティ業界は、敵から社会を守るという志を持って、使命感を持って入ってくる人がほとんどです。コンテストやバグバウンティへの参加は、セキュリティ専門企業だからこそできる、そういった有志のエンジニア達を成長させるひとつの有効な方法だと思っています。
――運用上の課題はありますか。
業務と研究時間との兼ね合いでしょうか。繁忙期では中々研究時間が取れないのが実情です。また、攻撃観点の共有や育成の為の勉強会も欠かせないので、エンジニア主体の勉強会を活発に実施しています。テーマは「Web脆弱性」「スマホセキュリティ」「マルウェア解析」「HTTP2」「CVSSv3」「脆弱性研究結果/発見方法の解説」等々さまざまで、エンジニアがテーマを決め、興味のある勉強会に参加する形式です。勉強会は毎週実施しているのですが、エンジニアの参加率はとても高くなっています。こうした、常に最新の脆弱性を追求し、その攻撃観点を他のエンジニアと共有していく仕組み作りが重要だと思っています。
――ありがとうございました。
海外で成立した仕組みだが、国内でも最近、サイボウズ株式会社や LINE 株式会社などで実施が進み、一定の成果を挙げることに成功している。脆弱性を探し出す技術者は「バグハンター」と呼ばれ、これまで本誌で報じたように、高額報奨金を受け取るハンターも存在する。
セキュリティ技術に感心の深いエンジニアが、技術を研鑽することを目的に、主に個人の活動としてバグハンティングに取り組むケースが多い一方、脆弱性診断事業などを行う三井物産セキュアディレクション株式会社(以下 MBSD )は、バグハンターを企業として積極的に育てているという。同社 プロフェッショナルサービス事業部 部長 武井 寿彦 氏に話を聞いた。
●企業として過去半年で最多の報告数
――日本の脆弱性報告管理システムである JVN への報告件数を見ると、MBSDが他のセキュリティ企業より多いですね。
2016年4月1日から6月24日までの間にJVNで公表された脆弱性報告のうち17件をMBSDのエンジニアが発見し、日本のセキュリティ企業として最多となりました。単に件数だけでなく、その中には深刻度の高い脆弱性が含まれています。また、計8名の当社エンジニアが報告を行っており、ひとつの企業からの報告人数として最多です。
――脆弱性を探すバグハンティングを、会社の業務として認めている理由はなんですか。
MBSD は、ネットワークや Web アプリケーションなどのセキュリティ診断事業を行っています。診断会社として高い水準のサービスを提供するための条件がいくつかあると考えているのですが、「脆弱性発見能力」はそのなかで、最も重要な要素と思うからです。
●いいセキュリティ診断会社とは
――そもそも、いいセキュリティ診断会社の条件を、MBSDではどう定義しているのですか。
まず事業として、リセラーのような製品の物販だけではなく、サービスを提供できるかどうかが重要となります。また、体制として、診断を行う充分な数の技術者が在席していることも大切です。技術力は技術者の数にある程度比例するからです。
また、診断手法として、既成の診断ツールを回すだけでなく、診断員による目視と手動操作による攻撃試行を行うかどうかや、より深い診断のために自社で開発したツールを持っているかどうか、そして、診断終了後の報告書に、具体的対策まできちんと提案されているかどうか等もポイントとなると思います。
加えて、サイバー攻撃の生の実態を情報共有するプラットフォームとなる、セキュリティオペレーションセンター(SOC)を運営していると望ましいでしょう。
MBSD はこれらの条件を満たすことに加えて、診断員が新しいバグを発見する能力を最重要視しています。
なぜなら「攻撃は最大の防御」という言葉通りで、当社は「守る力」イコール「攻撃する力」と考えます。相手の攻撃手法を勉強していなければ、顧客のシステムを守ることなどできません。
●バグバウンティで獲得した1,000万円を超える賞金は担当者が受け取り
――広範に脆弱性の発見能力を磨く活動をしていますね。
国際的なサイバー攻撃の実証コンテスト「Mobile Pwn2Own 2014」に、MBSDのエンジニアだけで構成されたチーム「Team MBSD」として参加して、前年の「Mobile Pwn2Own 2013」につづいて2年連続で入賞することができました。また、2013年に公表された脆弱性のなかでも深刻度と影響範囲が大きかった「Apache Struts において任意のコマンドを実行される脆弱性(CVSS7.5)」を弊社エンジニアが国内で最初に報告しています。他にも、Google Chrome の脆弱性発見など、弊社エンジニアが国内外で多くの実績を上げています。
――Mobile Pwn2Own は賞金が高額なことでも有名です。
2013年のGalaxy S4最新版のゼロデイ脆弱性を発見した際は、5万USドル、2014年のGalaxy S5最新版のゼロデイ脆弱性発見では、6万USドルの賞金を獲得しています。
――あわせて1,000万円近い額ですが、その賞金は誰がどのように受け取ったのですか?
弊社エンジニアがコンテストやバグバウンティで獲得した賞金や報奨金は、全てその実務に携わったエンジニア個人、チームメンバーが受け取ります。彼らのモチベーション向上の要因になっているようです(笑)。
――そういった業績は評価や報酬に反映されるのですか。
弊社では、申請をすれば業務の20%を研究時間に充てることが可能で、脆弱性発見を自己啓発の目標として掲げているエンジニアは、評価の対象となることもあります。
●セキュリティ専門企業だからできるエンジニア育成
――会社としてバグバウンティやコンテストに取り組むメリットは何でしょう。
ITの中でもセキュリティは異質な領域だと私は考えています。セキュリティというのは攻撃を仕掛けてくる「敵」が必ず存在するんですね。通常のITでは、イノベーションや効率化、成長、利益などが重視されますが、そこにはルールや法律の埒外にある「敵」が存在しません。セキュリティ業界は、敵から社会を守るという志を持って、使命感を持って入ってくる人がほとんどです。コンテストやバグバウンティへの参加は、セキュリティ専門企業だからこそできる、そういった有志のエンジニア達を成長させるひとつの有効な方法だと思っています。
――運用上の課題はありますか。
業務と研究時間との兼ね合いでしょうか。繁忙期では中々研究時間が取れないのが実情です。また、攻撃観点の共有や育成の為の勉強会も欠かせないので、エンジニア主体の勉強会を活発に実施しています。テーマは「Web脆弱性」「スマホセキュリティ」「マルウェア解析」「HTTP2」「CVSSv3」「脆弱性研究結果/発見方法の解説」等々さまざまで、エンジニアがテーマを決め、興味のある勉強会に参加する形式です。勉強会は毎週実施しているのですが、エンジニアの参加率はとても高くなっています。こうした、常に最新の脆弱性を追求し、その攻撃観点を他のエンジニアと共有していく仕組み作りが重要だと思っています。
――ありがとうございました。
