Upgrade to Pro — share decks privately, control downloads, hide ads and more …

プロダクトセキュリティのはじめ方 in 10X 2022.11.14

10xinc
November 15, 2022

プロダクトセキュリティのはじめ方 in 10X 2022.11.14

Ubie × 10X「スタートアップにおけるプロダクトセキュリティのはじめ方」
プロダクトセキュリティって具体的に何から始めればいいの?というあなたへ
https://10x.connpass.com/event/265135/

資料内リンク
10X セキュリティチームが立ち上がってから半年以上経過しました
https://product.10x.co.jp/entry/2022/09/02/180000

ジョブディスクリプション セキュリティエンジニア(Product Security)
https://open.talentio.com/r/1/c/10x/pages/62864

10xinc

November 15, 2022
Tweet

More Decks by 10xinc

Other Decks in Technology

Transcript

  1. ©10X, Inc. All Rights Reserved.
    プロダクトセキュリティのはじめ方 in 10X
    Ubie × 10X「スタートアップにおけるプロダクトセキュリティのはじめ方」2022.11.14 swdyh

    View full-size slide

  2. ©10X, Inc. All Rights Reserved.
    自己紹介

    ○ swdyh (さわだようへい)

    ○ 株式会社10X 

    ○ ソフトウェアエンジニア (2018から)

    ○ 社員規模: 入社時4名、現在90名くらい

    ○ リライアビリティ&セキュリティ部

    ○ Stailerのプロダクトセキュリティを担当(2022から)

    ○ サーバサイドの開発も一部兼任


    View full-size slide

  3. ©10X, Inc. All Rights Reserved.

    View full-size slide

  4. ©10X, Inc. All Rights Reserved.

    View full-size slide

  5. ©10X, Inc. All Rights Reserved.
    10Xのプロダクトセキュリティのはじまり

    ○ 最初のプロダクトは献立アプリ(タベリー、終了済)

    ○ Stailerへピボット

    ○ Stailerのはじめのころはモバイルアプリのみ

    ○ バックエンドもつくりはじめて運用がはじまり、配送先などの重要な情報を扱うよ
    うになる

    ○ 事業成長しはじめる。リリース優先

    ○ セキュリティまわりのことは後回しになりがち

    ○ B to B to C。C向けアプリを提供しつつもB向けのセキュリティ要件が求められる


    View full-size slide

  6. ©10X, Inc. All Rights Reserved.
    10Xのプロダクトセキュリティはじまり

    ○ 課題感を感じたソフトウェアエンジニアでチームをつくる

    ○ 詳細ブログ記事 10X セキュリティチームが立ち上がってから半年以上経
    過しました

    ○ ソフトウェアエンジニア2名かつ兼任体制でチームをつくる

    ○ チームという箱があると、そこに欠けているものがあることが分かりやすい。
    課題や相談ごとが集まってくる。

    ○ でもセキュリティ専門家はいない、いないなりにやろう


    View full-size slide

  7. ©10X, Inc. All Rights Reserved.
    セキュリティチームの取り組み その1

    ○ GCP, GitHubなどの各種権限整理。

    ○ Terrafromでのコード化

    ○ 日々変わる業務に合わせた権限を整備していくのむずかしい

    ○ プロダクトで扱っている個人情報の整理、監査ログの整備

    ○ 個人情報をどこで扱ってどこで保管してるか

    ○ DB, GCP, BigQuery, Log, Elasticsearch, API, 外部システム連携

    ○ パートナー企業からの問い合わせ対応

    ○ 回答、問答集などドキュメント整備


    View full-size slide

  8. ©10X, Inc. All Rights Reserved.
    セキュリティチームの取り組み その2

    ○ 脆弱性診断。

    ○ スコープ決め、依頼、問題の把握、修正のハンドリングまで

    ○ 不正アクセス対処

    ○ まだ少ない。APIに呼び出し制限 + モニタリング

    ○ セキュリティに関わる機能の設計レビュー

    ○ セキュリティ的よくないものができてしまうのを防ぐ、できてしまって
    から直すのは大変


    View full-size slide

  9. ©10X, Inc. All Rights Reserved.
    ソフトウェアエンジニアでなんとかなるか?

    ○ 今のところなんとかなっている

    ○ ただ、思ってたよりやること多くて大変

    ○ 機能開発を優先してたので荒れ地というか未開拓

    ○ あたりまえにやるべきことがいろいろある

    ○ SREチームやCorpITチームが頼りになる

    ○ ソフトウェアエンジニアであることの強みもある


    View full-size slide

  10. ©10X, Inc. All Rights Reserved.
    ソフトウェアエンジニアであることの強み

    ○ システムやコードの理解

    ○ 大事な情報やりとりしてる箇所やロジックを把握してる、把握しや
    すい

    ○ 脆弱性

    ○ 自分たちのシステムにとって、どれくらいやばいか、どうなおすべき
    か判断しやすい

    ○ 開発効率と制限(権限とか)と、開発者目線でバランスとれる

    ○ 仕組みで解決しやすい


    View full-size slide

  11. ©10X, Inc. All Rights Reserved.
    仕組みで解決の例

    ○ 個人情報のリスト化

    ○ 最初はスプレッドシートに書き出してくのをやったが継続できなかった

    ○ コードのデータモデル(Dart)やrpcの定義ファイル(proto)にアノテーションしてお
    き、そこからリスト化する仕組みをつくった。


    /// お客様氏名(姓)
    @SensitiveData.pii()
    String familyName = '';
    ↑Dartのコード例

    コードを読み込みCSVを出力。個人情報のリスト管理や、BigQueryなどにコピーすると
    きのフィルターに利用予定


    View full-size slide

  12. ©10X, Inc. All Rights Reserved.
    これからやりたいこと

    ○ セキュリティリスクの探索、予防

    ○ 外部の診断会社に頼り切らない、自分たちでやれることを増やす

    ○ シフトレフト。設計レビュー、コードレビュー、機能提案

    ○ 認証強化。2FA、WebAuthNなど

    ○ 静的解析(コードスキャン、Lintなど)

    ○ メイン言語がDart、コードスキャナ対応してない。比較的Linterはつくりやすい

    ○ 個人情報保護強化。権限設定、DLP(Data Loss Prevention)、PolicyAsCode(いまは人間がレ
    ビューしてる)

    ○ セキュリティ専門家との連携 (あたりまえにやるべきことから専門性が必要なことへ)

    ○ ロードマップの作成


    View full-size slide

  13. ©10X, Inc. All Rights Reserved.
    スタートアップにおけるプロダクトセキュリティのはじめ方

    ○ スタートアップ初期はプロダクトの機能に注力する

    ○ セキュリティを意識をむけないといけなくなる

    ○ いつから、だれが、どうやるか、答えがない

    ○ 事業内容、扱うデータの内容、事業の成長具合

    ○ プロダクトの方向性が固まり、成長にフォーカスしはじめるとき

    ○ 人数もふえる、プロダクトも大きくなる、そのへんがひとつの区切りかも

    ○ 10Xではソフトウェアエンジニアがやってる。ひとつのやりかた

    ○ これからもいろいろ模索していきたいので、知見を共有していきましょう


    View full-size slide

  14. ©10X, Inc. All Rights Reserved.
    こんな環境に興味のある方ぜひ



    ○ 10Xは事業が成長してきて、ちょうどセキュリティの重要度が高まってきておもしろい
    フェーズ。活躍できる余白もたくさん。

    ○ 再掲ブログ記事(再掲): 10X セキュリティチームが立ち上がってから半年以上経過しま
    した

    ○ ジョブディスクリプション

    ○ セキュリティエンジニア(Product Security)

    ○ ソフトウェアエンジニア(Product Security Ops)

    ■ 近々公開

    ○ 感想やフィードバックなどもぜひ


    View full-size slide