サイボウズ株式会社は、2017年11月3日〜4日の2日間、自社商品の脆弱性探索を目的とした「バグハンター合宿」を実施。15名のバグハンターにより、48件の脆弱性が報告され、うち36件を「脆弱性」と認定した。

同社は、2013年11月、初となる「脆弱性発見コンテスト」を実施。翌年6月からは、同社のパッケージ製品・クラウドサービスの脆弱性を発見・報告した人に対して報奨金を支払う「脆弱性報奨金制度」を設立し、これも毎年参加を募ってきた。報奨金は1件あたり1,000円〜500,000円で、2016年度までの3年間で373件の報告があり、報奨金総額は既に1,500万円に上るという。

そんなサイボーズが、今年も自社商品の脆弱性発見を目的とした「バグハンター合宿」を実施した。同合宿は、社外からセキュリティ技術者や研究者を募って、2日間で集中的に脆弱性を発見してもらい、その場で社内の脆弱性評価チームが脆弱性認定までをおこなうイベントである。探索はチーム戦で行われ、ハンター4名とサイボウズ開発者1名が1チームとなって競い合う。今年は15名のバグハンターにより、48件の脆弱性が報告され、サイボウズはそのうち36件を「脆弱性」と認定。優勝チームは時間内に10件の脆弱性を報告し、うち9件が脆弱性として認定されている。

「脆弱性報奨金制度」については、現在も本番環境への影響を考慮した「脆弱性検証環境提供プログラム」が公開されており、幅広い技術者からの脆弱性報告を募っている。同社では今後も、バグハンター合宿や脆弱性報奨金制度を通じて、自社製品の探索に関心を持ってもらい、より堅牢性を高めるための活動を行っていくとのことだ。

脆弱性報奨金制度
URL:https://cybozu.co.jp/products/bug-bounty/
バグハンター合宿
URL:https://cybozu.connpass.com/event/67056/

サイボウズ株式会社
URL:https://cybozu.co.jp/
2017/11/06