【事例】欧州委員会はオープンソースソフトウェアコミュニティの安全確保にどのように貢献したか

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

「バグバウンティは、正義感の強いバグハンターのコミュニティによって他のコミュニティを支援します。これはオープンソースソフトウェアと非常によく調和します。最高のコラボレーションと言えます。」

– Miguel Díez Blanco氏、DIGIT – 欧州委員会、オープンソースプログラムオフィス、プロジェクトリーダー

欧州委員会情報科学総局(DG DIGIT)について 

情報総局(DIGIT)は、欧州委員会およびEU機関の日常業務を支援するデジタルサービスを提供する部門です。

欧州委員会は、多様性、開放性、協調性など一連の価値観に基づいて機能しています。

2016年1月、欧州委員会はISA²プログラムを立ち上げ、欧州の行政、企業、市民が国境やセクターを越えた相互運用可能な公共サービスから利益を得られるようなデジタルソリューションの開発を支援しています。同プログラムは、相互運用性ソリューションのための様々なアクションを支援しています。

これらのアクションの1つは、「Sharing and Re-Use アクション(2016.31)」と呼ばれ、オープンソースプログラムオフィス(OSPO)に割り当てられています。このアクションの下で、OSPOは、公共サービスで広く使用されているオープンソースソフトウェアを確保する手段として、バグバウンティの使用を決定しました。

課題:オープンソースコミュニティのソフトウェアの安全性を確保すること

欧州委員会がオープンソースソフトウェアの重要性を認識したのは、2014年にHeartbleedバグにより世界中で多大な損失と影響を及ぼした時です。

このとき、欧州委員会は、オープンソースソフトウェアのセキュリティを確保し、オープンソースコミュニティのソフトウェアの安全確保を支援することを約束したのです。この取り組みは、2022年現在でも継続されます。

解決策:バグバウンティサービスを利用した3つのオープンソースソフトウェアのセキュリティ確保

「Sharing and Re-Use アクション(2016.31)」の一環として、欧州委員会はクラウドソーシングによるセキュリティテストの一形態であるバグバウンティの利用を決定しました。2021年1月11日、Intigritiのバグバウンティプラットフォームを使用して、3つのバグバウンティプログラムが開始されました。

バグバウンティプログラムの対象となる選定ソフトウエア

Moodle:世界中の行政機関や大学などで広く利用されているeラーニングプラットフォーム

Zimbra:グループカレンダーやドキュメントコラボレーションを含む、一般的なメールサーバーソリューション

Element (Matrix):フランスやドイツの公共サービスで利用されているインスタントメッセージングプラットフォーム

報奨金は欧州委員会のISA²プログラムの資金で賄われましたが、欧州の公共サービスで広く使用されているオープンソースソフトウェアに全面的に焦点を当てました。

Intigritiでバグバウンティプログラムを利用する理由 

欧州委員会が、バグバウンティプログラムが自分たちのニーズに合っていると考えたのは、次のような理由からです。

  1. 人材へのアクセス:バグバウンティプラットフォームは、セキュリティへの情熱を共有する世界中のバグハンターのコミュニティにアプローチすることを可能にする
  2. コスト効率:従来のセキュリティテスト・チャネルと比較して、バグバウンティプログラムでは、テスト時間ではなく、発見された固有の脆弱性に対してのみ支払いが行われるため、組織は低コストで結果を得ることができる
  3. スピード::欧州委員会は、Intigritiのプラットフォームを通じて世界中のバグハンターと迅速に連携し、脆弱性の発見に直ちに取りかかることができる

欧州にフォーカスしているIntigritiは、欧州委員会が表明している価値観を共有しています。

その結果:セキュリティテストを近代化し、即効性を実現 

数週間のうちに、脆弱性レポートが提出されるようになったのです。あるソフトウェアにおいて、3つの「重要」な脆弱性が発見されました。さらに、3つのソフトウェアプロジェクトすべてにおいて、少なくとも1つの「高い」脆弱性が発見され公開されました。

これらの脆弱性を知ることで、オープンソースコミュニティはパッチにより迅速に修正することができ、より安全なソフトウェアに繋がったのです。

また、この経験について、Zimbra社は次のように語っています。 

「次回も利用しようと考えています。欧州委員会のバグバウンティプログラムに参加したことは、Zimbraにとって価値のある貴重なプロジェクトでした。脆弱性スキャナが捕捉できなかったスクリプトや偽造に関する低~中程度のセキュリティの問題がほとんどで、24時間365日警戒し続けることができ、私たちにとって素晴らしい訓練となりました。」

今回の参加について、Moodle LMS(学習管理システム)プロダクトマネージャーのSander Bangma氏は次のように述べています。 

「世界で最もカスタマイズ可能で信頼できるオープンソースの学習管理システム(LMS)であるMoodleにとって、セキュリティは最も重要です。Moodleの開発手法は、デザインによるセキュリティを含み、ISAバグバウンティプログラムへの参加は、Moodleのセキュリティをさらに強化するための良い選択でした。」

Intigritiのバグバウンティプラットフォームを利用した体験について、Element (Matrix)社は次のようにコメントしています。

「Intigritiは、レポートを事前にチェックし、私たちが有効な提出物にのみ対処できるような優れたサービスを提供しました。受理された問題のほとんどは重要度が低いものでしたが、重要度の高いレポートもいくつかありました。」

出典:Intigriti

https://blog.intigriti.com/2021/07/19/european-commission-helped-secure-open-source-software-communities/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

サービスに関するご質問・ご相談など
お気軽にお問い合わせください