Upgrade to Pro — share decks privately, control downloads, hide ads and more …

あなたの知らないバグバウンティの世界

Eureka
March 08, 2024

 あなたの知らないバグバウンティの世界

Eureka

March 08, 2024
Tweet

More Decks by Eureka

Other Decks in Technology

Transcript

  1. あなたの知らない バグバウンティの世界 Yurika Kakiuchi Risk Manager Security Response Team |

    Regional Security Customer Protection Microsoft Corporation 公式ブログ: https://aka.ms/JPSECURITY 公式ツイッター: @JSECTEAM セキュリティレスポンスチーム窓口 [email protected]
  2. マイクロソフト セキュリティ レスポンス センター 2 ミッション:お客様が Microsoft の製品やサービスのセキュリティ脆弱性から被害を受けることを防ぎ、 Microsoft Cloud

    に対する攻撃を迅速に対応する • リリース製品の脆弱性対応 (脆弱性収集、修正、更新プログラムのリリース) • 脆弱性に関するリサーチ • セキュリティ・リサーチコミュニティとの連携
  3. よりよいセキュリティレスポンスを目指して 3 信頼できるコンピューティング設立 セキュリティ開発ライフサイクル (SDL) 提唱 マルウェア保護センターを設立 Microsoft Security Response

    Center 設立 デジタル犯罪 対策センター設立 Operations Security Assurance 開始 セキュリティ情報提供開始 • 脆弱性にセキュリティ情報(MSxx-xxx) を採番 • セキュリティ更新や回避策を公開 1998 2004 2007 2014 2017 1995 1999 2005 2018 2003 月例でのセキュリティリリース 開始 • 毎月第 2 火曜日午前 10 時 (米国時間) • 複数の脆弱性の修正をパッケージ化し、必要なインストール回数・再起動回数を減 少 • 詳細なガイダンスの提供 月例セキュリティリリースの事前通知開始 ・3 営業日前に月例更新プログラムを事前予告 CVE 採番機関となり、 最初のCVEを採番 セキュリティ更新ガイド 開設 ・セキュリティ情報(MSxx-xxx) 番号を廃止 ・CVE、更新プログラムを公開データベース化 2010 Microsoft Active Protection Program (MAPP) 開始 日本語の脆弱性報告窓口設立 2013 脆弱性報奨金プログラム(バグバウンティ)開始
  4. 数字で見る Microsoft バグバウンティ 17 報奨金対象 製品・サービス 20 億円 合計報奨金支払総額 345

    名 受賞者 2,900万円 1件あたりの最高金額 (統計期間: 2022 年 7 月 1 日 ~ 2023 年 6 月 30 日) 1180 有効なレポート数
  5. 脆弱性に対するアプローチ 脆弱性の発見と悪用をより困難にするために 悪用される 脆弱性の数を減らす 悪用による 影響を下げる 悪用期間を 最小にする ✓ セキュリティ開発ライフサイクル(SDL)

    ✓ 既存の脆弱性の分析と研究 ✓ 共同リサーチ ✓ バグバウンティ ✓ 攻撃面の縮小 ✓ セキュリティパートナーシップによる脆 弱性悪用状況の把握と顧客保護 ✓ 修正プログラムのリリース迅速化 ✓ 自動更新機能の改善 ✓ 修正プログラムの適用促進 ✓ 企業組織への個別説明会実施 ✓ メディア・第三者機関と連携した注 意喚起 詳細は: 脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと - Speaker Deck
  6. Microsoft バグバウンティの拡大 2013 ベータ版での バグバウンティを開始 2017 プログラム対象の 拡大 2019 プログラムを刷新

    現在 インセンティブとパートナー シップの強化 • セキュリティパートナーの参加 • 地域パートナーとのエンゲージ • 研究パートナーシップ • ガイドラインの継続的な調整 • 賞金額の引き上げ • 明確なガイドラインの設置 • 報奨授与までの期間短縮 • シナリオベースの報告導入 • 社内リサーチへのフィードバック強化 • Windows Insider, Office, Edge などに拡大 • ISO 規格の共同執筆・編集 • IE 11 Preview
  7. 価値の高い脆弱性報告を促進するために • Microsoft Researcher Recognition Program • Example of High

    Quality Reports セキュリティ コミュニティを盛り上げる 透明性のあるガイド・プロセスへの継続的改善 研究に対して報奨する • Microsoft Bluehat • Windows Security Servicing Criteria • Microsoft Vulnerability Severity Classification for AI Systems • Microsoft Vulnerability Severity Classification for Online Services • Directory of Azure Services
  8. バグバウンティ・ 脆弱性報告の リソース • Microsoft Bounty Programs | MSRC •

    BlueHat | Microsoft • マイクロソフト脆弱性報告窓口 ガイド (日本 語) | MSRC Blog | Microsoft Security Response Center
  9. 情報セキュリティ早期警戒 パートナーシップ ガイドライン* 脆弱性関連情報の届出 • 届け出された脆弱性はすべてマイクロソフ トの脆弱性報告窓口に報告されます。 • マイクロソフトに直接報告した場合は、必 ずしも

    IPA に報告する必要はありません。 • マイクロソフトが迅速に対応を開始するた めに、できる限り直接報告をお願いいたし ます *IPA https://www.ipa.go.jp/security/ciadr/partnership_guide.html