cybozu.com security challenge 結果速報
TRANSCRIPT
cybozu.com Security Challenge
サイボウズ株式会社伊藤 彰嗣
サイボウズ株式会社でサービス / プロダクトの脆弱性検証を行うチームに所属しています
その他、自社のセキュリティ品質の向上のための活動をしています。 POC 対応 組織内のセキュリティ全般 Security Challenge の運営
自己紹介
国内商用クラウド初(弊社調べ)の脆弱性発見コンテスト
外部のセキュリティ専門家の皆様と協調して、サービス品質を向上させる活動の一環として、脆弱性発見コンテストを開催することにいたしました。
プレスリリース http://group.cybozu.jp/news/13092401.html
cybozu.com Security Challenge
Blog 記事を書きました cybozu.com Security Challenge ができるまで http://developer.cybozu.co.jp/tech/?p=6177
サイボウズの脆弱性対応の歴史 サービスにおけるセキュリティインシデントの対応 Cy-SIRT 開催の経緯 開催に向けた準備 etc…
開催までの経緯
脆弱性ハンドリングポリシーの整備 脆弱性検証を本番環境で行って良いことを表明 脆弱性を発見いただいた方へ謝辞を公開 コンテスト利用規約の策定 コンテストルールブックの作成 賞金支払方法の検討 コンテスト専用の問い合わせ管理システムの作成 取材対応 etc ・・・
開催までの準備
開催中の様子
Security Challenge の攻撃者をリアルタイム監視してみた http://developer.cybozu.co.jp/tech/?p=6397
申込人数 95 名 参加人数 75 名(参加率
78 % ) 脆弱性情報の報告者数 14 名 賞金獲得者数(予定) 10 名 脆弱性情報の報告件数 41 件 認定された脆弱性の報告数 20 件
報奨金合計:120 万円前後 (集計中)
結果サマリ
アクティブに検証いただいた方(※ 1 )ののべ人数は、 75 名でした。
機械的な検証では無い(※2)アクセスで検証いただいたリクエスト総計は 566,931 リクエストです。
※1 1日 1,000 リクエスト以上の検証を実施いただいた方
※2 1日 100,000 リクエスト以上のアクセスがあった場合、機械的なアクセスと判定しました
結果サマリ
アクセス数推移
アクティブユーザー数推移
検出された脆弱性分布
XSS
認可 / 権限 / アクセス不備
CWE-16 環境設定 CWE-20 不適切な入力確認 CWE-22 パストラバーサル CWE-78 OS コマンドインジェクション CWE-79 クロスサイト・スクリプティング (XSS) ) CWE-89 SQL インジェクション CWE-93 CRLF Injection (メールヘッダ・インジェ
クション) CWE-113 HTTP ヘッダ・インジェクション CWE-200 情報漏えい CWE-264 認可・権限・アクセス制御
サイボウズが採用する CWE
CWE-287 不適切な認証 CWE-352 クロスサイト・リクエスト・フォージェリ
( CSRF ) CWE-362 競合状態 CWE-384 Session Fixation CWE-399 リソース管理の問題 CWE-601 オープンリダイレクタ CWE-614 ログインの不備 - クッキーのセキュア属性不備 CWE-Other (その他) CWE-DesignError (システム設計上の問題)
サイボウズが採用する CWE
これは脆弱性なのか? セキュリティ上の脅威の有無? 不具合と脆弱性の境界にあるようなお問い合わせは、つど運用チームで議論
ソーシャル攻撃は脆弱性なのか? 個別の脆弱性は CVSS で評価をすることはできる
社内 / 社外への連絡不足 メーリングリストの設定不備 orz コンテスト開始後の工数見積もりが甘かった o..rz
コンテストで苦労した点
有識者の方からいただいた知見を社内にフィードバック 報告いただいた脆弱性情報を元に、共通仕様を検討
各プロダクトで、実装 / レビューなどに活用 社内で行う脆弱性監査の観点に、情報を反映 脆弱性情報ハンドリングフロー(脆弱性情報の受付~公開)のプロセス改善
今後の活動
脆弱性報奨金制度の進め方を検討する コンテスト形式
短期間で集中して外部の方から報告いただける 注目度が高い 作業者の仕事感が半端ない
常設 期間に縛られず、検証し報告いただくことができる 継続して有益な報告を寄せていただくためには、適切な対価設計が必要
今後の活動
ご清聴いただきありがとうございました!