Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ServiceNow SNUG 2025YEP ServiceNow の責任のある開示プログラムとは
Search
Mio Yokohama
December 28, 2025
Technology
0
20
ServiceNow SNUG 2025YEP ServiceNow の責任のある開示プログラムとは
Mio Yokohama
December 28, 2025
Tweet
Share
More Decks by Mio Yokohama
See All by Mio Yokohama
ServiceNow WFT25 CreatorCon Rising Star が語るコミュニティの魅力
mioyokohama
0
14
SNUG K25フィードバックセッション_Knowledge セッション登壇体験記
mioyokohama
0
150
ドメインあるある言いたい!
mioyokohama
0
95
Other Decks in Technology
See All in Technology
技術キャッチアップ効率化を実現する記事推薦システムの構築
yudai00
2
140
APMの世界から見るOpenTelemetryのTraceの世界 / OpenTelemetry in the Java
soudai
PRO
0
150
LY Tableauでの Tableau x AIの実践 (at Tableau Now! - 2026-02-26)
yoshitakaarakawa
0
580
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
94k
サンタコンペ2025完全攻略 ~お前らの焼きなましは遅すぎる~
terryu16
1
450
AIエージェントで変わる開発プロセス ― レビューボトルネックからの脱却
lycorptech_jp
PRO
2
720
[続・営業向け 誰でも話せるOCI セールストーク] AWSよりOCIの優位性が分からない編(2026年2月20日開催)
oracle4engineer
PRO
0
110
Getting started with Google Antigravity
meteatamel
0
370
社内ワークショップで終わらせない 業務改善AIエージェント開発
lycorptech_jp
PRO
1
370
AIで 浮いた時間で 何をする? 2026春 #devsumi
konifar
16
3.3k
全自動で回せ!Claude Codeマーケットプレイス運用術
yukyu30
3
130
Snowflake Night #2 LT
taromatsui_cccmkhd
0
150
Featured
See All Featured
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.5k
Code Reviewing Like a Champion
maltzj
527
40k
Optimizing for Happiness
mojombo
379
71k
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
400
Documentation Writing (for coders)
carmenintech
77
5.3k
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
63
53k
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
92
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
610
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
120
Building a Scalable Design System with Sketch
lauravandoore
463
34k
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
450
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
1.9k
Transcript
ServiceNowの脆弱性を 発見したらどうする? 責任のある開示プログラムとは? よこはま みお (@mio_yokohama)
自己紹介 ServiceNow歴:Kingston(2019)~ 好きなライセンス:ITOM, SecOps X:@mio_yokohama よこはま みお 第013795号 2025年度
撮影禁止のお願い •スライド右上、左下に「撮影禁止」 と表示のあるスライドは、写真撮影、 SNSへの投稿をご遠慮ください。 •それ以外のスライドは写真撮影、 SNS投稿大歓迎です! ぜひシェアしてください! 撮影禁止 撮影禁止
もしServiceNowで脆弱性を 見つけたらどうしますか?
実際に脆弱性を報告した話 ある機能の検証中、私はセキュリティ上の懸念のある動作に遭遇しました。 ServiceNowへ報告した結果、脆弱性として特定され、CVE-2025-3648 として公開されました。 CVE-2025-3648 特定条件下のACL設定において、Range Queryを用いて 本来アクセスできないデータを推論できてしまう脆弱性
「あれ…?このACL、 効いてない?」 ある機能の検証中、意図しない挙動に遭遇しました。
状況:本来見えないはずのデータ ユーザー “Alice”には”readable_role” のみを付与。 “unreadable_column”の読み取りには ”itil”ロールが必要なACLを設定。 この設定では、Aliceは”unreadable_column”の値を 閲覧・推測できないはずです。 撮影禁止 撮影禁止
発見:フィルタークエリによるデータ推論の成功 ACLの有無を問わず、データを推論できてしまう可能性がありました。 しかし、特定のフィルター(read_column=foo^unreadable_column=foobar)を使うと… 撮影禁止 撮影禁止 本来アクセスできないはずの”unreadable_column”の値が ”foobar”であると推測できてしまった。
脆弱性かもしれない・・・ でも、どうすれば? • これは本当に報告すべき問題なのか? • 正しい報告窓口はどこ? • どのような情報を提供すればよい? • 安全な検証方法は?
当時の私は報告の方法が分からず、多くの時間を費やしました…
CVD (Coordinated Vulnerability Disclosure) 発見者による脆弱性の無秩序な公開を防ぎ、悪意のある攻撃者が脆弱性を 悪用する前に、脆弱性を修正してユーザーを保護する一連のプロセスのこと。 • CVDの考え方を踏まえたServiceNow公式 の脆弱性対応の枠組み。 •
脆弱性の安全な検証と報告、開示のルールが 定められている。 • リサーチャーは法的なリスクを負わずに調査 ができ、ServiceNowは製品をより堅牢にで きるWin-Winの関係。 ServiceNowの「責任のある開示プログラム」 発見 報告 修正 開示
ServiceNowが所有するドメインや製品 の「技術的な脆弱性」 •*.servicenow.com •*.service-now.com •.lightstep.com 対象となるもの(In Scope) 対象外となるもの(Out of Scope)
•物理的なアクセスが必要な脆弱性 •パートナーサイトやインスタンス固有の問題(設 定ミスなど) 自動スキャンツールで検出した脆弱性は必ず手動で再検証してください。 未検証の脆弱性レポートはServiceNowは評価しません。 責任のある開示プログラム:報告のスコープ
善意の調査であっても、手法を誤れば攻撃とみなされる可能性があります。 以下の原則に従ってください。 •迅速な報告:セキュリティ上の懸念を発見したら、速やかに報告する。 •詳細な再現手順の提供:PoC(概念実証)を含め、十分な情報を提供する。 •誠実な行動:プライバシー侵害やサービス中断を避ける努力を払う。 テストは必ず自身が所有もしくは権限のあるインスタンスのみで行う。 •報酬の対象外:プログラムに費やした時間や貢献に対して金銭的な報酬を要求しない。 •情報の秘匿化:脆弱性開示後に情報を公開する場合は、顧客・個人情報を削除する。 重要:ServiceNowは不正な診断スキャンやインフラストラクチャ に対する積極的なテストを厳しく禁止しています。
責任のある開示プログラム:遵守すべきガイドライン ガイドライン
脆弱性発見から開示までの5ステップ Step 1: 発見と事前検証 Step 2: レポートの送信 Step 3: トリアージと評価
Step 4: CVE採番と修正 Step 5: 開示(Disclosure)
Step 1-2:発見者がすること(検証と報告) 1 事前検証 2 レポート送信 報告先は立場によって異なる。 検証: 最新のPDIや非本番環境で 事象が再現可能か検証する。
PoC作成: 明確な再現手順、スクリーンショット、 動画などを準備する。 顧客/パートナー Now Supportの ”Security Finding Submission” 研究者/その他
[email protected]
または HackerOne
実際に私が送ったレポート(再現) Summary 脆弱性の概要を簡潔に Impact どのような影響があるか Environment 再現環境の詳細(ビルド名など) Steps to Reproduce
ServiceNow PSIRTが事象 を再現できる手順 Proof 証拠となるスクリーンショット
Step 3-5:PSIRTがすること(評価、修正、開示) 3 トリアージと評価 4 CVE採番と修正 • ServiceNow PSIRTがPoCを元に再現確認。 •
CVSSスコア等を用いて深刻度を評価。 5 開示(Disclosure) • 脆弱性が認定されるとCVE番号が割り当て*られる。 ※ServiceNowはCNA(CVE採番機関)のため、自社製品の脆弱性に自らCVEを発行可能。 • 開発チームが修正パッチを開発 • 公式ナレッジベースKBにて脆弱性の詳細を回 避策(Security Advisory)が公開される。
貢献の成果:クレジットへの掲載 修正の準備が整うと、Security Advisoryが公開 されます。 報告者の貢献が認められた場合、アドバイザリ内に 「Finder」として名前が掲載されることがあります。 ・Mio Yokohama finder
あなたの発見が、ServiceNowをより強くする どんなに優れたプロダクトでも、脆弱性が全くないということはありません。 だからこそ、私たちユーザーコミュニティによる「発見」と「報告」のサイクルが重要です。 私たちが発見した脆弱性を適切なプロセスで報告することは、製品への批判ではありません。 ServiceNow AI プラットフォームをより信頼性の高いもの変革する、前向きな行動です。
mioyokohama
yudai00
soudai
yoshitakaarakawa
oracle4engineer
terryu16
lycorptech_jp
meteatamel
konifar
yukyu30
taromatsui_cccmkhd
katarinadahlin
maltzj
mojombo
marktimemedia
carmenintech
nwiizo
greggifford
baasie
techseoconnect
lauravandoore
inesmontani
aleyda
