サイボウズの脆弱性発見コンテスト、19件の脆弱性が報告される

サイボウズは、11月に実施した脆弱性発見コンテスト「cybozu.com Security Challenge」の結果について中間報告を行った。

同イベントは、同社が提供するクラウドサービス「cybozu.com」の脆弱性を見つけ出すコンテスト。サービス品質の向上を目指し、同社が開催したもので、同月11日から25日まで約2週間にわたり、商用サービスとは別に用意した検証環境を用いてオンライン上で実施した。

同コンテストには、95人から申し込みがあり、実際に75人が参加。そのうち14人から脆弱性について報告が寄せられ、19件の脆弱性が明らかになったという。発見された脆弱性には、緊急で対応する必要がある深刻なものは含まれておらず、今後同社では、脆弱性対応ポリシーに従い、修正していく方針。

今回のイベントは、賞金総額300万円という点からも注目を集めたが、コンテスト上位入賞者については、2014年3月に都内で開催が予定されている「SECCON全国大会」で発表する予定。SECCONの併載カンファレンスで、発見者よって脆弱性を発見するプロセスなどの説明なども行われる。

また同社は、コンテストの目的について社外セキュリティ専門家と良好な関係を築くことを挙げており、コンテスト以外の点についても報告を受けるなど収穫があったという。またモニタリングによって攻撃手法のノウハウを得たり、脆弱性と不具合の判断について社内の認識を統一できた点などイベントの成果を強調した。

同社では、セキュリティ検査を実施したい利用者などへ開発環境の公開などを検討するなど、さらに脆弱性対策を推進するとしており、よりセキュリティを高めた製品の提供を目指す。

（Security NEXT - 2013/12/10 ）ツイート