対象: 新Office365 Office 365 Enterprise, Office 365 Small Business, Office 365 Midsize Business
(この記事は 2014 年 9 月 23 日に Office Blogs に投稿された記事 Microsoft Online Services Bug Bounty Program launches with Office 365 の翻訳です。最新情報については、翻訳元の記事をご参照ください。)
今回は、Office 365 担当シニア セキュリティ リードの Travis Rhodes の記事をご紹介します。
マイクロソフトは、新しくスタートした Microsoft Online Services Bug Bounty プログラム (英語)を Office 365 にも適用することを発表しました。本日から開始されたこのプログラムでは、マイクロソフトにセキュリティ上の脆弱性をご報告いただいたセキュリティ研究者の方を対象に、評価および表彰し、懸賞金をお支払いいたします。Office 365 にこのプログラムを適用することを決めた理由にはさまざまなものがありますが、その中でも特に下記の項目を重要と考えています。
- セキュリティ上の脆弱性を非常に重要視していること。Fortune 500 企業から中小企業、非営利団体、教育組織に至るまで、幅広いお客様が、組織運営を支えるツールとして Office 365 を大いにご活用していただいています。また、データの取り扱いについて当社を信頼していただいていることを重く受け止めており、それを受けて、継続的に取り組んでいる Office 365 サービスのセキュリティ向上の一環としてこのプログラムを実施いたします。セキュリティ、コンプライアンス、およびプライバシーに対する取り組みの詳細については、Office 365 セキュリティ センターをご覧ください。
- お客様からご要望いただいていること。お客様は、高度なセキュリティ要件をお持ちであり、また、製品のセキュリティ プロファイルを自由に評価し把握することをお望みです。このため、同日にプログラムの要項 (英語)を発表し、参加を希望される方ならどなたでも Office 365 サービスのセキュリティ上の脆弱性を評価できるフレームワークをご用意しました。参加者の皆様にはこのルールに準拠してサービスのセキュリティを評価していただきます。発見された問題がプログラム要件を満たしていると認められた場合、その功績に対してマイクロソフトから懸賞金をお支払いします。
- お客様とサービスに対して実施すべき項目であるということ。Office 365 では、サービスの開発から運用までのライフサイクル全体を通じて、セキュリティ チームが業界のトレンドや新たに発生した脅威を基に、社内外からの侵入テストや、脆弱性のスキャンおよび評価を実施しています。Office 365 は、厳格な第三者機関によるセキュリティおよびコンプライアンスに関する認定を多数取得していて、第三者機関の審査を通じて証明されているマイクロソフトのベスト プラクティスをお客様に提供しています。マイクロソフトは、安全性が高いソフトウェアを開発し、サービスのセキュリティ違反を防止することに全力で取り組んでいます。当社では、セキュリティ保護にはゴールはなく、絶えず進化を続ける必要があると考えており、より迅速に進化させる方法を常に探っています。この懸賞金プログラムもその 1 つで、Office 365 の安全性を高めるために優秀なコミュニティ参加者の皆様のお力をお借りし、そのご協力への感謝を表すための方策です。
脆弱性の調査やレポート作成の前に、プログラムの要項とよくある質問 (英語)をご確認ください。これまでに Office 365 の問題をご報告くださったコミュニティの皆様に深くお礼申し上げると共に、今後はこのプログラムを通じて皆様への感謝を形にできるようになり、たいへん嬉しく思っております。何卒、これまで以上のご協力をよろしくお願いいたします。
—Travis Rhodes