セキュリティ品質向上に向けたサイボウズの取り組み
•
1 gostou•2,891 visualizações
2016 年 12 月に行われた第 18 回 IT Media エンタープライズ ソリューションセミナーの講演資料です。 https://itmedia.smartseminar.jp/public/application/add/1416
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Destaque
Destaque (20)
Semelhante a セキュリティ品質向上に向けたサイボウズの取り組み
Semelhante a セキュリティ品質向上に向けたサイボウズの取り組み (20)
セキュリティ品質向上に向けたサイボウズの取り組み
- 1. セキュリティ品質向上に向けた サイボウズの取り組み 伊藤 彰嗣 Copyright (C) Cybozu,Inc. 1
- 2. 自己紹介 • 伊藤彰嗣(@springmoon6) • グローバル開発本部 品質保証部 セキュリティチーム • サイボウズの CSIRT(Cy-SIRT)で窓口(PoC)を担当(兼務) • 経歴 • 2006年 新卒入社 • 2009年 サイボウズ Garoon 品質保証責任者 • 2011年 cybozu.com 品質保証責任者 • 2011年 Cy-SIRT 立ち上げ • 2014年 脆弱性報奨金制度運営 • 2016年 セキュリティキャンプ講師 Copyright (C) Cybozu,Inc. 2
- 3. Cy-SIRT • サイボウズの CSIRT • Computer Security Incident Response Team Copyright (C) Cybozu,Inc. 3 https://www.cybozu.com/jp/features/mana gement/cysirt.html https://www.cybozu.com/jp/features/mana gement/cysirt.html
- 4. 2つの役割 • Cybozu,Inc. Product Security Incident Response Team • 製品に関する脆弱性情報を取り扱うチーム Cy-PSIRT • Cybozu,Inc. Computer Security Incident Response Team • インシデント対応を行うチーム Cy-SIRT Copyright (C) Cybozu,Inc. 4
- 5. PSIRT としての活動 Copyright (C) Cybozu,Inc. 5 脆弱性情報 管理 報奨金制度 運営 脆弱性検査 外部機関との 連携 セキュリティチームと連携しサービスを提供
- 6. 脆弱性情報ハンドリングポリシー Copyright (C) Cybozu,Inc. 6 http://cybozu.co.jp/company/internal_control/security/vulnerability.html
- 7. Copyright (C) Cybozu,Inc. 7 外部からの 脆弱性報告 社内からの 脆弱性報告 脆弱性情報の 受付 脆弱性情報の 検証 脆弱性 認定? 改修 回避策の配布 脆弱性情報の 公開 報告者に連絡 脆弱性情報公開フロー 脆弱性対応フロー ISO/IEC 29147 より引用 No Yes
- 8. 今日お話しすること Copyright (C) Cybozu,Inc. 8 脆弱性報奨金制度を開始することを検討されている組織の皆様に、 制度を安定して運用するための ポイント をお伝えします。 脆弱性情報の受付事例 報奨金制度における諸課題
- 10. サービスをセキュアにする活動 Copyright (C) Cybozu,Inc. 10 セキュア 開発訓練 コーディン グ規約 フレームワー クの利用 開発 脆弱性の 即応体制 オペレー ター教育 運用 脆弱性検査 脆弱性情報 管理 外部機関と の連携 QA
- 12. 制度の推移 170 件 118 件 95 件 729 万円 446 万円 304 万円 0 100 200 300 400 500 600 700 800 0 20 40 60 80 100 120 140 160 180 2014 年 2015 年 2016 年 認定件数 報奨金額 Copyright (C) Cybozu,Inc. 12
- 13. 大まかな流れ Copyright (C) Cybozu,Inc. 13 報告者 Cy-SIRT 調整機関 開発本部 運用本部 サイボウズ 情報公開
- 14. 脆弱性報奨金制度による変化 Copyright (C) Cybozu,Inc. 14 脆弱性改修 脆弱性情報 公開 Before After 脆弱性改修 脆弱性情報 公開 脆弱性情報 受付 報奨金 お支払い
- 16. PDF Formcalc Attack Copyright (C) Cybozu,Inc. 16 https://dl.dropboxusercontent.com/u/13018058/poc/appsec.pdf セッション 被害サイト 攻撃者被害者 APPSEC EU 2015 で公開された攻撃手法
- 17. FormCalc Copyright (C) Cybozu,Inc. 17 http://help.adobe.com/ja_JP/livecycle/9.0/FormCalc.pdf 演算関数 文字列関数 日付と時間関数 URL 関数 会計関数 その他の関数 論理関数 Adobe 社が開発した演算言語
- 19. 問題点 Copyright (C) Cybozu,Inc. 19 ファイルがアップロードされている Origin で 任意のリクエストを発行することができる http://insert-script.blogspot.jp/2015/05/pdf-mess-with-web.html
- 20. タイムライン Feb Mar Aug Sep Oct Nov Copyright (C) Cybozu,Inc. 20 第一報受信 評価開始 Adobe 社 と相談 脆弱性認定 せず 議論の結果 認定 評価について 有識者と議論 制限事項に 決定 情報公開 受領から対応完了までに 9 カ月
- 21. Adobe 社の見解 Copyright (C) Cybozu,Inc. 21 In the absence of content-injection attacks (or arbitrary file upload attacks) in a domain, we feel the path for an attacker to abuse CVE-2014-8453 has been closed. Earlier, the attacker could use redirects (in a domain he controlled) to trick Reader into thinking a cross-origin PDF was same-origin with a victim domain, and that attack vector has been resolved. From our perspective, website owners must realize that PDF is active content, and serving user-uploaded/malicious PDFs from a non-throwaway domain is effectively an XSS (just like hosting an arbitrary/malicious HTML). PDF は Active Contents であることを認識し、 ユーザーがアップロードする PDF ファイルをプログラムが 動作するオリジンには配置しないようにしなければならない。
- 22. サイボウズの見解 • 非互換な仕様変更に伴うユーザーへの説明コストが高く、ユー ザーにとっても負担が大きい。特にオンプレミス版では別オリ ジンの設定を行うことが困難。 • 再現する環境の条件が限定的(他社製品の利用が前提となる) Copyright (C) Cybozu,Inc. 22 本現象について、制限事項として情報公開する。 サイボウズ製品を利用するユーザーに脅威があることを考慮し、 回避策として、下記をアナウンスする。 ・IE/ Firefox でAdobe Reader プラグインを利用することは避ける https://github.com/cybozu/bugbounty/tree/master/scope/PDFFormcalcAttack.md
- 23. 報奨金制度における諸課題 5 つの課題をご紹介します Copyright (C) Cybozu,Inc. 23
- 24. Copyright (C) Cybozu,Inc. 24 外部からの 脆弱性報告 社内からの 脆弱性報告 脆弱性情報の 受付 脆弱性情報の 検証 脆弱性 認定? 改修 回避策の配布 脆弱性情報の 公開 報告者に連絡 脆弱性情報公開フロー 脆弱性対応フロー ISO/IEC 29147 より引用 No Yes
- 25. 1. 海外からの報告 • スコープ外にある運用中の Web サイトのアカウントを 窃取することに成功したとの報告を受けた 各国の法律の違い • 「報告者と協調する」ことが最優先であることを社内に周知 • 海外の方が参照できるように、規約の英語化を進める 解決策 Copyright (C) Cybozu,Inc. 25 脆弱性情報の 受付
- 26. 2. 脆弱性の評価 • 複数の報告者からの問い合わせに対して、 同一の評価基準で脆弱性認定することが難しい 脆弱性の認定基準 • 脆弱性認定のためのガイドラインを策定する • https://github.com/cybozu/bugbounty/tree/master/scope 解決策 Copyright (C) Cybozu,Inc. 26 脆弱性 認定?
- 27. 脆弱性認定ガイドライン Copyright (C) Cybozu,Inc. 27 https://github.com/cybozu/bugbounty/blob/master/scope/PDFFormCalcAttack.md 脆弱性概要 認定可否 対策箇所 / 認定しない理由
- 28. 3. 脆弱性情報の検証 • 認定基準に定められていない複雑な問題が多数寄せられる • トリアージ / 評価チームを維持することが困難 認定基準に収まらない問題 • 分業体制の構築(開発者に評価を協力してもらう) • トリアージチームが参照できる「共通仕様」の策定 解決策 Copyright (C) Cybozu,Inc. 28 脆弱性情報の 検証
- 29. サイボウズの評価体制 受付 • 非技術スタッフ • 2名 トリアージ • 技術スタッフ • 2名 技術会議 (TLM) • 全開発責任者 • オンライン オフライン Copyright (C) Cybozu,Inc. 29
- 30. 脆弱性情報の受付件数 Copyright (C) Cybozu,Inc. 30 13 53 241 208 183 0 50 100 150 200 250 2012 年 2013 年 2014 年 2015 年 2016 年 報告件数 Cybozu.com Security Challenge 脆弱性報奨金制度 常設
- 31. 複雑な問題の例 • Reflected File Download • https://drive.google.com/file/d/0B0KLoHg_gR_XQnV4RVhlNl96MHM/view • CSV Injection with the CVS export feature • https://hackerone.com/reports/72785 • CSV Excel Macro Injection • https://github.com/cybozu/bugbounty/blob/master/scope/CEMI.md • PDF Formcalc Attack • http://insert-script.blogspot.jp/2014/12/multiple-pdf-vulnerabilites-text- and.html Copyright (C) Cybozu,Inc. 31 いずれも外部の評価事例が少なく、評価コストが高い
- 32. 共通仕様 Copyright (C) Cybozu,Inc. 32 全製品が守ることを期待される仕様を まとめたドキュメント TLM 提案 承認 共通仕様 開発本部の共通言語。車輪の再発明を抑止し、 トリアージチームも判断基準として使うことができる。
- 33. 4. 影響が広い脆弱性情報の公開 • サイボウズをご利用中のユーザーだけでなく、 特定の条件を満たす多くの Web サイトに影響する問題が報告された サードパーティ製品の仕様に起因する問題 • 当該サードパーティ製品ベンダーと相談する • 公開時には、JPCERT/CC 様と相談する 解決策 Copyright (C) Cybozu,Inc. 33 脆弱性情報の 公開
- 34. JPCERT/CC 様との連携事例 Copyright (C) Cybozu,Inc. 34 https://jvn.jp/ta/JVNTA94087669/index.html
- 35. 5. 脆弱性情報の公開 • 脆弱性を公開していることが失注に繋がる事例が度々ある • 脆弱性の公開にかかるコストが少なくない 経済的合理性 • 自社製品届け出に対して CVE 番号をスムーズに発券する仕組み • 1社だけでは難しく、脆弱性情報を流通させることの意義を広めたい 解決策 Copyright (C) Cybozu,Inc. 35 脆弱性情報の 公開
- 37. 5つのポイント Copyright (C) Cybozu,Inc. 37 脆弱性ハンドリ ングポリシー ルールの明文化 報奨金の設計 規約の設計 どこまで 自社でやるか
- 38. 1. 脆弱性ハンドリングポリシーの策定 Copyright (C) Cybozu,Inc. 38 脆弱性報奨金制度を支える仕組みを整備
- 39. 2. 報奨金獲得ルールを明文化 Copyright (C) Cybozu,Inc. 39 事前にルールを定め公開すること 対象となる サービス 脆弱性 認定ルール 脆弱性 評価ルール 報奨金獲得に関するガイドライン http://cybozu.co.jp/company/security/bug-bounty/guideline.pdf
- 40. 対象とするサービスを明記する Copyright (C) Cybozu,Inc. 40 対象外環境への報告があった場合に、 どのように対処するかを決めておく 報告者 対象外の サービス Internet 対象となる サービス
- 41. 様々なケースを想定してルールを決める Copyright (C) Cybozu,Inc. 41 対処方針を明確に公開することで、 報告者の方と円滑にコミュニケー ションが可能に
- 42. Cybozu.com Security Challenge 広告宣伝 目的の賞金 源泉徴収を 行う 常設の報奨金制度 情報提供料 源泉徴収を 行わない 3. 報奨金の設計 Copyright (C) Cybozu,Inc. 42 施策の目的に応じた設計が必要 サイボウズでの事例紹介です。 詳しくは各社様の顧問会計士・税理士の方とご相談ください。
- 43. 4. 規約の設計 Copyright (C) Cybozu,Inc. 43 規約で抑えるべきリスクを最小限にする 協調的な 脆弱性公開が 破たん ライセンスの 商用利用 収集した 個人情報の漏洩 規約改定時の 通知コスト どういう目的でやるものかを明確にすること
- 44. お客様環境の保護 お客様が ご利用中の環境 プログラム参加者が 利用する環境 お客様がご利用中の環境と 物理的に隔離。診断が原因 となる障害は発生しない 2016 年 9 月現在 のべ178 名の方が利用 http://cybozu.co.jp/securityprogram.html Copyright (C) Cybozu,Inc. 44
- 45. 5. どこまで自社で実装するか Copyright (C) Cybozu,Inc. 45 報告者 POC 開発 運用 ベンダー 情報公開 評価受付 支払 改修 公開 ベンダー以外でも出来る ベンダーのみ出来る
- 46. 報奨金制度運営業者の活用 Copyright (C) Cybozu,Inc. 46 https://hackerone.com/ https://bugcrowd.com/ https://bugbounty.jp/ https://www.vulbox.com/
- 47. 活用する際の留意点 Copyright (C) Cybozu,Inc. 47 コミュニティの 規模 脆弱性情報の 委託 脆弱性評価 報告者との コミュニケー ション 報奨金の対象 とする脆弱性 運営業者に 支払う費用
- 48. Full Disclosure 型の Bug Bounty Copyright (C) Cybozu,Inc. 48 https://www.openbugbounty.org/about/ 外部からの脆弱性情報を受け付ける体制を整え、 情報公開しておくことが重要
- 50. セキュリティと報奨金制度 Copyright (C) Cybozu,Inc. • 自社で行う様々な施策で脆弱性を減らす • 脆弱性報奨金制度を活用し、未知の脅威を知る サービスをセキュアにする活動 • 脆弱性ハンドリングポリシーの策定 • 報告窓口を設け、窓口情報を公開する 脆弱性報奨金制度を検討する皆様へ 50
- 52. 参考文書 • ISO/IEC 29147 Information technology — Security techniques — Vulnerability disclosure • ISO/IEC 30111 Information technology — Security techniques — Vulnerability handling processes Copyright (C) Cybozu,Inc. 52