クラウドベースのグループウェアサービス「cybozu.com」や業務アプリケーションプラットフォーム「kintone」を中心に、業務を支えるサービスおよびソフトウェアを提供してきたサイボウズ。「チームワークあふれる社会を創る」ことを理念にコラボレーションツールを作り続けており、導入企業数は 85,000社を超える。
その同社にとって、サービス・プロダクトのセキュリティは必要不可欠な要素だ。「サイボウズの製品が扱う情報の性質上、機密性はもちろん、可用性・完全性の観点も守ることが不可欠と考えています」と、同社Cy-PSIRTの大塚由梨子氏は述べる。
サイボウズ Cy-PSIRTの大塚由梨子氏
こうした背景からサイボウズでは、サービス・製品のセキュリティ品質の向上に特化した「PSIRT」(Product Security Incident Response Team)を業界に先駆けて設置し、脆弱性の少ない製品作りに取り組んできた。
ゲヒルンの技術力の高さに寄せる全幅の信頼
サイバー攻撃のリスクが認識されるようになった最近でこそ、会社全体のセキュリティを守り、インシデントに対応する「CSIRT」(Computer Security Incident Response Team)を設ける企業が増えてきた。
だがサイボウズの場合はちょっと順番が違う。まずプロダクトの開発に責任を持つ開発本部の中に、品質保証(QA)の一環としてセキュリティチームを設け、2011年にPSIRTに発展した。この流れの中で、セキュリティに関する幅広い問い合わせがPSIRTに寄せられるようになったため、一般的なセキュリティ対応を分離させてCSIRTを設置し、PSIRTは本来の業務である製品のセキュリティに集中できる体制へと整えた。
「会社としてのセキュリティルールを定めるよりも先に、製品のセキュリティ確保が進んでいった」(大塚氏)というユニークな経緯の背景には、かつて、製品に存在する脆弱性を外部の専門家から指摘された経験がある。サイボウズはこの一件をきっかけに、製品のセキュリティに真摯に向き合うようになり、開発・テスト段階でセキュリティ検査を強化し、リリース前の早い段階で問題を見つけ出し、対処するプロセス作りを進めてきた。いわゆる「セキュア・バイ・デザイン」や「シフトレフト」といった言葉で表現される取り組みだ。
それでもPSIRT設立以前は、製品担当のテスターが、各々に検証を行う形式だった。このため、テスト担当者のセキュリティに関する知識によって検証のレベルにばらつきが生じ、時に抜け漏れも生じていた。
これに対しPSIRTが本格的に稼動し始めた後は、全社的に一律のルールの基で検証を実施する形に変わっている。その上で、米国の企業に依頼して外部の目によるセキュリティ検査を実施するほか、年に1~2回の頻度で、やはり外部の企業に依頼して「セキュリティ監査」を実施し、その結果を監査レポートとして公表するという具合に3段階のセキュリティ検査を実施してきた。
サイボウズでは、このセキュリティ監査を担う企業としてゲヒルンを採用している。ゲヒルンの当時の役員のつながりで知己を得たことを機に、試しに一度検査を依頼してみたことでゲヒルンの技術力の高さに信頼を抱き、自然と依頼数が増えていった。
「診断結果もさることながら、レポート内容も非常に高いレベルでした。その後も継続的にゲヒルンに診断を依頼しましたが、毎回異なる内容を高いレベルで指摘してもらうことができ、信頼が積み重なっていきました」と大塚氏。こうした実績を踏まえ、2017年は、ほとんどの監査をゲヒルンに依頼しており、そのレポート結果を外部に公開している(https://www.cybozu.com/jp/productsecurity/)。
内部での検査、外部での検査、さらにゲヒルンの監査を重ね、死角を減らす
一度で済ませず二度、三度と製品のセキュリティ検査を行っているサイボウズ。「確かに3段階のテストを行うとコストはかかります。しかし、それぞれ目的やカバー範囲が異なり、どれか1つでカバーできるというものではありません」と大塚氏は述べる。
「社内のセキュリティ検査は網羅的に実施できる上、内部で行うため仕様書を確認できるという利点もあり、権限昇格問題などの指摘に強いです。また、米国の企業に依頼している外部の検査では、性善説に基づいた仕様回りの指摘に加え、古いオープンソースソフトウェアを利用しているといった指摘を受けることが多いです。そしてゲヒルンには、広く、かつ深くさまざまな問題を指摘してもらっています。それぞれの検査で得意なところやレイヤが異なり、そこを生かした検証をしてもらっています」(大塚氏)
もちろん、3種類のテストで重複する部分はある。だが逆に薄い部分もあり、そこに脆弱性があるかもしれないという健全な懸念をサイボウズでは抱いており、「そうした部分にコストをかけていきたい」と大塚氏。その上でさらに、市井のセキュリティ専門家から脆弱性情報を受け付ける「脆弱性報奨金制度」も実施し、より多くの目を注いで死角を減らそうと努めている。
監査を行う側のゲヒルンからするとこれはちょっとしたプレッシャーだ。ゲヒルンの平澤は「正直、サイボウズさんの製品のセキュリティは堅くできており、他社と比較してベーシックな脆弱性はほとんど見つかりません。特に新しいプロダクトについては、開発の最初からセキュリティを意識して作られているからだと思います。われわれとしては『脆弱性なし』と報告書を出すのはやりにくいし、いちエンジニアとしても悔しいのですが、脆弱性を見つけ出すのが難しいなと感じるのは事実です」と述べる。
ゲヒルン 分析局の平澤蓮
ただ、一般的な話として、最近はフレームワークに依存してアプリケーションを開発するケースが増えている。このため、「使われている言語やフレームワークに応じて脆弱性が生じる場所が変わってきています。中にはGhostscriptやImageMagickの脆弱性のように、開発者が気付かないうちに利用しているコンポーネントにクリティカルな脆弱性が含まれることも少なくありません。そもそも依存していることに気付いていないため、発見されてから何カ月も経っても残っているケースがあります」(平澤)
サイボウズもこうした課題を認識し始めている。「外部のどんなライブラリやミドルウェア、オープンソースソフトウェアに依存しているかを把握するため、各製品で使っているコンポーネントの情報を提供してもらってPSIRTで一元管理し、週次で手動で更新情報をチェックしています」(大塚氏)。ただ、そのボリュームが非常に多く、追いつくのが大変なのも事実だそうだ。
分かりやすいレポートで開発による改修を後押し
サイボウズがゲヒルンの診断サービスを評価するもう1つのポイントは、レポートの分かりやすさだ。ゲヒルンではもともと、社長の石森大貴の方針もあって「開発者が読んだとき、間違いなく意図を分かってもらえるようにレポートを作る」ことにも力点を置いてきた。「今、危険なのか、そうでないのか」を簡潔に理解できるよう、総合評価の表示形式もあれこれ試行錯誤しながら改善を続けている。
「PSIRTの活動は脆弱性を検出して終わりではありません。その情報をリスクとともにプロダクト開発側に伝え、改修が終わってはじめて製品が堅牢化されると考えています。ただ、開発者やプロダクトマネージャーは、必ずしもセキュリティに詳しいとは限りません。そうした人たちにもリスクを分かりやすく、きちんと伝えることが大事だと思っていますが、ゲヒルンが提供するレポートは、その際にそのまま利用できるほどです」(大塚氏)
サイボウズでは複数のステップでセキュリティ検査を実施し、PSIRTがその結果に基づいてアドバイスを行っているが、そこで指摘された問題をいつ改修するかの決定権は開発側にある。従って、きちんとリスクが伝わらないと判断ミスが生じる可能性がある。「あっちの対応が終わってから」と、悪気がなくても修正が先延ばしになる可能性がある。もちろん、きちんとリスクを認識した上であれば、修正時期を遅らせるという判断があっても良いと思う。限られた工数で対応できることは限られているので、脆弱性以外の不具合含めて優先度を決定すべきだ。
「中には、CVSSのスコアは低くてもリスクが顕在化するとまずい問題もあります。開発とのコミュニケーションの中でいろいろな伝え方をしていますが、そのとき、こうした細かなレポートがあると説得材料になるため、感謝しています」(大塚氏)
もう1つ、サイボウズが重宝しているのが「参考情報」だ。これは、例えば「CookieのSameSite属性」のように一部で導入されつつある新たな機能や、単体で悪用のできない「エスケープの不備」といった、今の時点ではまだリスクにはなっていないが、今後、状況や使われ方によってはリスクが顕在化する恐れがある項目などをまとめたもの。これも「非常に助かっている」(大塚氏)そうだ。
セキュリティに携わる仲間を増やすため、熱く深い情報交換を継続的に
ゲヒルンのセキュリティ検査サービスを利用し始めてから今まで、「トラブルや不満はないんです。検出の内容にとても満足していますし、コスト面でも納得いくものを提供していただいています。何より、診断の前後のやり取りの中で、ゲヒルンの皆さんの信頼できる人柄が伝わってくるので助かっています」と大塚氏は言う。
ゲヒルンの人材募集ページにある「夢の中で脆弱性を探したことがある人」という項目に、一人のセキュリティエンジニアとして共感を覚えていた大塚氏。やり取りの言葉の端々や表情から「技術が好き」「好きなことを仕事にしている」というのが伝わってくることもあり、ゲヒルンという会社にも、そのメンバーにも全幅の信頼を寄せているという。
最近では、「自分たちだけでは見つけられないものを見つけてくれる」というPSIRTからゲヒルンへの信頼感が開発側にも伝わり始めており、「このバージョンはゲヒルンの監査が入ります」と言うと、「よかった、それなら安心です」という反響が返ってくることもあるそうだ。今後も監査対象製品を拡大し、2019年は20近い回数の監査を受ける計画だという。
サイボウズでは将来的に、各プロダクトの開発チーム内にセキュリティに強いエンジニアを少なくとも1人以上配置することを考えているという。「PSIRTはあくまで専任チーム。チームが異なれば情報が分断される可能性もあるので、やはりプロダクト側にセキュリティ担当が存在するのがあるべき姿だと考えています。理想を言えば、各プロダクトがそれぞれセキュリティを実施し、PSIRT自体がなくなってもいいのかもしれません」とまで大塚氏は言う。
プロダクト開発側にセキュリティに強いエンジニアを増やすに当たって、ゲヒルンにも期待している役割があるそうだ。
「まずは、社内にセキュリティに興味を持つ人を増やしていかなくてはなりません。そのために、社内の開発者を呼んで、『こういう人たちにセキュリティ監査をしてもらって、こんな脆弱性を見つけてもらっています。面白いでしょう?』という意識が高まるといいなと思い、2018年に、サイボウズとゲヒルン共同で技術交流会を実施しました」(大塚氏)
これまでの信頼関係を踏まえ、バグバウンティプログラムの報告内容も踏まえて開催されたクローズドなこの交流会では、脆弱性に関する率直な情報交換が行われた。ゲヒルン側は、大塚氏の予想を上回る尖ったライトニングトークを展開し、参加者からも好評だったそうだ。これを機にゲヒルンのイメージが「監査会社」から「ハッカー会社」に変わったという声まであったという。
「これもまた、セキュリティを意識するメンバーを増やしていく活動になると思います」(大塚氏)。今後もこうした場を通じて、熱く深い情報共有をしていきたいという大塚氏。ゲヒルンとの二人三脚の関係を通して製品のセキュリティ向上、より大局的にはセキュアな社会の実現につなげていきたいという。
この記事は2019年2月の取材をもとに構成しています。