Soumettre la recherche
Mettre en ligne
報奨金制度の近況について
•
Télécharger en tant que PPTX, PDF
•
1 j'aime
•
7,725 vues
Y
Yuriko Otsuka
Suivre
Cybozu Meetup https://cybozu.connpass.com/event/63652/
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 20
Télécharger maintenant
Recommandé
とある脆弱性の永い議論
とある脆弱性の永い議論
Mtikutea
Cy-PSIRTの取り組み
Cy-PSIRTの取り組み
Mtikutea
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
Typhon 666
131107 基準コンソーシアム
131107 基準コンソーシアム
robotcare
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D event
Miya Kohno
Recommandé
とある脆弱性の永い議論
とある脆弱性の永い議論
Mtikutea
Cy-PSIRTの取り組み
Cy-PSIRTの取り組み
Mtikutea
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
Typhon 666
131107 基準コンソーシアム
131107 基準コンソーシアム
robotcare
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D event
Miya Kohno
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
Rsj2013 02 nakabo
Rsj2013 02 nakabo
robotcare
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
動画収集調査のススメ20170928(活用編)
動画収集調査のススメ20170928(活用編)
晴生(作成中) 山崎
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
20191016 jbug uso
20191016 jbug uso
ssusera06cae
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Akitsugu Ito
DevLOVE LT: Do you know axes of software testing?
DevLOVE LT: Do you know axes of software testing?
Toshiyuki Kawanishi
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
Connect_GANs_Actor-Critic
Connect_GANs_Actor-Critic
WEBFARMER. ltd.
重要なのはリサーチ・プランニング・プロトタイプの三本柱
重要なのはリサーチ・プランニング・プロトタイプの三本柱
Yuya Toida
すべての人にチームワークを サイボウズのアクセシビリティ
すべての人にチームワークを サイボウズのアクセシビリティ
Kobayashi Daisuke
サイボウズのサービスを支えるログ基盤
サイボウズのサービスを支えるログ基盤
Shin'ya Ueoka
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
S Akai
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
Jumpei Miyata
Kubernetes in 30 minutes (2017/03/10)
Kubernetes in 30 minutes (2017/03/10)
lestrrat
あなたの開発チームには、チームワークがあふれていますか?
あなたの開発チームには、チームワークがあふれていますか?
Yusuke Amano
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
Contenu connexe
Tendances
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
Rsj2013 02 nakabo
Rsj2013 02 nakabo
robotcare
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
動画収集調査のススメ20170928(活用編)
動画収集調査のススメ20170928(活用編)
晴生(作成中) 山崎
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
20191016 jbug uso
20191016 jbug uso
ssusera06cae
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Akitsugu Ito
DevLOVE LT: Do you know axes of software testing?
DevLOVE LT: Do you know axes of software testing?
Toshiyuki Kawanishi
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
Connect_GANs_Actor-Critic
Connect_GANs_Actor-Critic
WEBFARMER. ltd.
Tendances
(13)
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
Rsj2013 02 nakabo
Rsj2013 02 nakabo
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
動画収集調査のススメ20170928(活用編)
動画収集調査のススメ20170928(活用編)
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
20191016 jbug uso
20191016 jbug uso
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
DevLOVE LT: Do you know axes of software testing?
DevLOVE LT: Do you know axes of software testing?
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Connect_GANs_Actor-Critic
Connect_GANs_Actor-Critic
En vedette
重要なのはリサーチ・プランニング・プロトタイプの三本柱
重要なのはリサーチ・プランニング・プロトタイプの三本柱
Yuya Toida
すべての人にチームワークを サイボウズのアクセシビリティ
すべての人にチームワークを サイボウズのアクセシビリティ
Kobayashi Daisuke
サイボウズのサービスを支えるログ基盤
サイボウズのサービスを支えるログ基盤
Shin'ya Ueoka
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
S Akai
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
Jumpei Miyata
Kubernetes in 30 minutes (2017/03/10)
Kubernetes in 30 minutes (2017/03/10)
lestrrat
あなたの開発チームには、チームワークがあふれていますか?
あなたの開発チームには、チームワークがあふれていますか?
Yusuke Amano
En vedette
(7)
重要なのはリサーチ・プランニング・プロトタイプの三本柱
重要なのはリサーチ・プランニング・プロトタイプの三本柱
すべての人にチームワークを サイボウズのアクセシビリティ
すべての人にチームワークを サイボウズのアクセシビリティ
サイボウズのサービスを支えるログ基盤
サイボウズのサービスを支えるログ基盤
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
Kubernetes in 30 minutes (2017/03/10)
Kubernetes in 30 minutes (2017/03/10)
あなたの開発チームには、チームワークがあふれていますか?
あなたの開発チームには、チームワークがあふれていますか?
Dernier
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
Dernier
(12)
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
報奨金制度の近況について
1.
報奨金制度の近況について サイボウズ株式会社 PSIRT 大塚 由梨子
2.
自己紹介 ▌Yuriko Otsuka ▌2009年 入社 ▌東京品質保証部
Cy-PSIRT所属 ▌業務内容 報奨金制度の運営 外部監査・外部検証 のハンドリングと管理 脆弱性の評価 ▌好きなもの 旅行、映画鑑賞、ピアノ、B’z 相棒鑑賞(水谷豊)、踊る大走査線鑑賞(ギバちゃん)
3.
Agenda 1. 報奨金制度の歴史 2. 報奨金制度の近況
(4つの施策) 3. 脆弱性評価の裏側 4. 印象的な報告 (2017年度) 5. 報奨金制度の今後
4.
報奨金制度に参加したことがある人、いますか?
5.
報奨金制度の歴史 ▌2014年 報奨金制度スタート 同年8月、バグハンター合宿を開催 ▌2017年
4年目に突入 3年間の傾向を参考に、複数の施策を検討
6.
報奨金制度の歴史 170件 729万円 92件 386万円 111件 446万円 ▌延べ240名が参加 (制度開始 ~
17年8月現在) ▌年を追うごとに、製品が堅牢な状態に改善されております ▌長らく制度を運用していることによる堅牢なイメージもあり、報告件数が 毎年減少傾向に。
7.
報奨金制度の近況 (4つの施策 ) ▌1.キャンペーンの開始 PSIRTからの提案当初は、「倍額キャンペーン」でした 本部長に報告したところ、もっとやっちゃえば!・・・
と。
8.
ありがとうございます。「5倍」 にしちゃいます。
9.
報奨金制度の近況 (4つの施策 ) https://cybozu.co.jp/products/bug-bounty/pdf/campaign2017.pdf 「最大5倍キャンペーン」スタート
(2017/07/07 ~ 2017/12/20)
10.
報奨金制度の近況 (4つの施策 ) ▌1.キャンペーンの開始
(2017/07/07 ~ 2017/12/20) 最大5倍キャンペーンの影響もあり、報告数は増加傾向。 報告数 :82件 認定数 :41件 報奨金額:4,443,000 円 ※2017年度スタート ~ 8/8 時点。キャンペーンの金額を反映済。 170件 729万円 92件 386万円 111件 446万円
11.
報奨金制度の近況 (4つの施策 ) ▌2.バグハン合宿の開催
11月頃、弊社開催予定!(おそらく 11/3,4) 3年ぶり2度目の開催 途中参加・途中退出OK 宿泊なし バグハン合宿限定の参加者特典についても、検討を進めています。 (合宿限定製品 or 報奨金上乗せ など) より多くの人に興味を持っていただけるよう、弊社の開発者も巻き込み、 鋭意計画中です。
12.
報奨金制度の近況 (4つの施策 ) ▌3.リアルタイムランキングの開始 報奨金制度のランキングを、見える化しました。 前年まで:年度終わりにランキングを公開 本年度
:週に1度、Twitterでランキングを発信 ♯CybozuBugBounty
13.
報奨金制度の近況 (4つの施策 ) ▌4.制度の英語化に対応 海外のバグハンターへのアピールを開始しました。 前年まで:英語版は参加規約のみ。それ以外は全て日本語 本年度
:各ドキュメントの英語版を作成し、公開済。 ※参加資格は、日本語・英語でコミュニケーションできること。 https://cybozu.co.jp/products/bug-bounty/en/
14.
脆弱性の評価の裏側 ▌基本的な流れ 1.着信 :専任メンバーを置き、迅速にやり取りできるよう体制を整えています。 2.受付 :脆弱性情報の管理DBに、報告された内容を登録。 3.評価
:再現確認を実施。再現し、脆弱性と認定できた現象に対して、 CVSS v3 に基づき評価します。 4.クローズ連絡 :認定可否 & 評価結果 & 報奨金 について報告者に連絡 5.クローズ :お支払いなど、事務手続きの合意が取れたらクローズ。 PSIRT 評価・議論 クローズ受付
15.
脆弱性の評価の裏側 ▌「評価」の流れ 1.評価担当者が、CVSS V3 に基づいて評価 2.レビュー担当者が、評価レビューを行う 3.評価担当者が、社内告知を作成 4.レビュー担当者が、告知レビューを行う 5.社内(プロダクト)に、脆弱性と評価結果を告知 6.評価完了 脆弱性の評価、告知の内容ともにレビューを実施しています。 また、CVSS
V3の各項目に弊社独自の「評価指標」も追加し、それに基づいて評 価を実施することで、評価者によって結果が異ならないよう取り組んでいます。
16.
脆弱性の評価の裏側 ▌「評価」の裏側 特別な特権は不要のため、「低」としている 必ず、項目ごとに理由を記載する。 この脆弱性では、攻撃に特定IDは不 要という理由で、「低」としている。 「評価指標」を引用し、理由としている
17.
印象的な出来事 (2017年度) ▌認定翌日、共通仕様に追加 通常はPSIRT内で完結しますが、影響度の高い報告やチーム内で判断できない現象については、 TLM(Tech Lead
Meeting)にて、本部長を含む関係者間で議論(オンライン)されます。 今回、影響度の高い現象が報告され、対応策が共通仕様に追加されました。 PSIRT 評価・議論 TLM 議論 クローズ受付 7/27 評価 開始 7/27 着信 8/16 共通仕様に 8/02 TLMへ 報告 8/15 認定 連絡
18.
報奨金制度の今後 ▌バグハンターの方々にとって魅力的な制度であり続けるよう、様々な施策を 検討していきます。報告の分かりやすさ点など、現在の評価に追加するポイ ント制についても検討中です。 ▌情報発信に力を入れ、日本のみならず海外のバグハンターへもアピールをし ていきます。 ▌迅速なクローズ、検証環境の安定稼働 に引き続き取り組んでいきます。
19.
報奨金制度に参加したくなった人、いますか?
20.
バグハンターの方々と一緒に作り上げていく制度にしていきたいと 考えております。企画や新しい要望等ございましたら、 ご意見いただけますと幸いです。 今後とも、どうぞよろしくお願いいたします。
Télécharger maintenant