サイボウズCSIRT、JPCERT/CCより感謝状を受領
脆弱性報奨金制度による自社製品の脆弱性情報の調査、公表が
ソフトウェアのセキュリティを高める模範活動と評価される

サイボウズ株式会社（本社：東京都中央区、社長：青野 慶久、以下 サイボウズ）の社内セキュリティ組織である「サイボウズ株式会社CSIRT」(以下、Cy-SIRT)は、サイバーセキュリティ対策の取り組みを評価され、2015年8月3日(月) に一般社団法人JPCERTコーディネーションセンター様（以下、JPCERT/CC）より感謝状を受領いたしました。

感謝状受領の背景

JPCERT/CCは、日本国内における情報及び制御システムの円滑な運用とコンピューターセキュリティインシデントによる被害の最小化を目的として、情報収集、分析、注意喚起等の発信、国内外の調整活動等を行っている組織です。今回Cy-SIRTは、バグハンターの協力を仰いで製品の品質向上を目指す、脆弱性報奨金制度による積極的な脆弱性の調査・公表活動が日本国内で類を見ない取り組みであり、セキュリティを高める模範的な活動として、JPCERT/CCより評価いただきました。2015年8月現在、この制度を実施している企業は、国内ではサイボウズのみとなっています。

JPCERT/CC様からのコメント

・選定の背景、理由

自社製品に関する脆弱性情報の届出および脆弱性情報のポータルサイト（JVN）での公表に積極的な製品開発者が未だ少数に留まるなか、「製品開発者による自社製品の脆弱性届出」の約40%にあたる届出をCy-SIRT殿からいただきました。また、これら届けていただいた脆弱性情報をJVN上で広くお知らせする活動を通して、製品利用者のサイバー攻撃による被害の抑止、IT利用の安全性の確保にご協力をいただきました。この真摯な活動に敬意を表し、感謝状を贈らせていただきました。

・今後Cy-SIRTおよびサイボウズに期待すること

自社製品の脆弱性公表に自ら取り組む姿勢は、日々進化するサイバー攻撃から製品利用者の安全を守ろうとする製品開発者に期待される姿でありながら、その背景が正しく理解されない状況では、内外からの報われない反響に折れそうになることが少なくない活動かもしれません。
そのような中、Cy-SIRT殿におかれては、自社製品利用者の安全を優先させた活動を継続して遂行してくださいました。この自社製品の脆弱性の公表に取り組む活動が、多くの製品開発者の模範となって広がり、様々な製品を利用する人々が安心して参加できるIT利用環境の実現につながることを期待しています。JPCERT/CCといたしましても、脆弱性情報の公表の意義が正しく理解される環境の醸成に取り組んで参りますので、引き続きご協力をお願いいたします。

一般社団法人 JPCERTコーディネーションセンター　代表理事　歌代和正氏

サイボウズ脆弱性報奨金制度概要

http://cybozu.co.jp/company/security/bug-bounty/
脆弱性報奨金制度は、サイボウズが提供するサービスに存在するゼロデイ脆弱性を早期に発見し改修することを目的とする制度です。弊社パッケージ製品・クラウドサービスの脆弱性を発見し報告いただいた方に謝礼として報奨金をお支払いします。お客様が実際に利用されている環境に影響を与えず、安全に検証できる「脆弱性検証環境提供プログラム」を用意しております。

報道関係者様からのお問い合わせ先

サイボウズ株式会社 マーケティングコミュニケーション部：大滝 空
〒103-6028 東京都中央区日本橋2-7-1 東京日本橋タワー 27階
TEL：03-4306-0803 / FAX：03-5204-1040 / MAIL： pr@cybozu.co.jp