業務の効率化と会社の成長を目的としたビジネスコミュニケーションツール「チャットワーク」の開発、運営を行っているChatWork株式会社。チャットワークをリリース後、すぐに大きな注目を浴びてから右肩上がりで利用者数が増加し、2018年5月末日時点で17万8000社を越える企業が導入されているとのこと。働き方改革も追い風となり、今後ますます導入数が伸びそうです。

同社にはBugBounty.jpへのご参加と、サービスを一部リニューアルする際にセキュリティ診断も依頼していただきました。それぞれのご担当者の吾郷様と春日様にお話を伺いました。

ChatWork株式会社
クライアントアプリケーション開発部
吾郷 協氏

BugBounty.jpへ参加されたきっかけは何ですか?

海外の方から、脆弱性の報告を受けることが度々あったので、自社のWebサイトに「脆弱性の報告フォーム」を設置してみました。しかし、宣伝をしなかったこともあり、残念ながら報告はあまり来ませんでした。開発側からすると「これまで報告を受けていたのだからフォームを設置すれば更に報告が来るだろう」と思っていたのですが、予測していた数よりも報告は少なかったですね。そこで、脆弱性報告の募集をアピールする必要があると考え、BugBounty.jpへの登録を決めました。

参加するにあたって、不安な点はありましたか?

私自身が他社のバグ報奨金制度へ報告して、報奨金を受け取った経験もあり、「社外から見たバグバウンティのフロー」は把握していました。しかし、自分が募集側になるのは初めてで、「社内のフロー」は知らなかったので、その点は不安でした。報告がきたらどのように判断、アサイン、情報共有をするか、その情報を漏れないようにする体制……などが社内でできているか当初は確証が持てませんでした。そのため、上記のフローはもちろん、最初はできる限り小規模な体制で始められるようにしました。
自分がバグ報奨金制度の報告経験者だったことから、報告を受けてから返信するまでのレスポンスはできる限り短くしたいという思いもありましたね。

参加後の率直なご感想をお願いします。

参加後は、想定していた数の報告が届くようになり、やはり脆弱性があったのだな、と思いました。我々が不安に思っていた箇所の報告も多く、無事に修正ができて助かりました。
これまで行っていた第三者による一般的な「脆弱性診断」は検証項目に対しての網羅性は高いですが、リリースサイクルに対して診断の頻度が追いつかないという点がネックでした。BugBounty.jpはその点を補完する意味で非常に効率が良いと感じています。
また、社内のメンバーで対応を持ち回ることで、全体のセキュリティインシデント対応スキルの向上にも役立っていると感じています。

BugBounty.jpの窓口を担当されているのはどのような方ですか?

直接の窓口対応は自分を含めた3名で行っていますが、基本的に開発のすべてのメンバーが報告に関わるフローになっています。BugBounty.jpから連絡があったら、自動的に開発メンバーへタスクが振られるシステムになっており、修正が行われると、窓口担当者がチェックして報告者へ回答しています。
対応を少人数に絞らない理由は、すべてのインシデントをみんなで共有するべきだと考えたからです。重大なインシデントは多くの人と共有されますが、軽微な問題だとされません。しかし、大小関わらず問題を共有することで、社内の対応力を常にチェックすることができますし、先述した全体の能力もあげることができるようになるはずです。

今後の展望を教えてください。

現状だと報告を受ける箇所が限られているので、もっと攻めの体制でBugBounty.jpを上手く利用していきたいですね。その背景にはお客様へ安全な製品・サービスを提供するため、弊社の脆弱性報告の仕組みをより強固なものにしていきたいという思いがあります。

 

ChatWork株式会社
開発本部本部長
春日 重俊氏

スプラウトのセキュリティ診断を選んでくださった理由は何ですか?

新しくリリースするサービスの新機能について、事前にセキュリティ診断をしたいと考えていました。該当サービスはScalaで作成しており、複数のセキュリティ会社にお声がけしていました。その中からフラットに判断した結果、Scalaに関する診断実績があり、私たちのニーズに合致したスプラウトさんに診断をお願いしました。

セキュリティ診断の結果はいかがでしたか?

見ていただいた結果、我々が発見できなかった脆弱性を報告してもらいました。そのままリリースしていたら問題だったのでありがたかったです。また、その他のバグレポートに関してもいろいろと参考になったので、今後もぜひお願いしたいですね。