Security Team at 10X inc / セキュリティチームの今@開発共有会

Transcript

1. ©10X, Inc. All Rights Reserved. セキュリティチームの今
 2022/08/31 開発共有会@オンライン 1

2. ©10X, Inc. All Rights Reserved. • @sota1235 • 隙間に落ちるボールを拾っては落としての日々を 送っています🥎

   • 好きな脆弱性はXSSです 初めましての方は初めまして
 2

3. ©10X, Inc. All Rights Reserved. 3 今日はセキュリティチームの話をします


4. ©10X, Inc. All Rights Reserved. About セキュリティチーム
 • 立て付けとしてはDevelopment Platform配下のSubTeam

   
 • 2022/01から存在
 • Mission: Stailerで扱う全ての情報、システムが安全であることを目指す 
 
 4

5. ©10X, Inc. All Rights Reserved. Members
 5 @swdyh SubTeam leader

   @sota1235 (0.5人) ＋ Reliability Teamのヘルプ 🙏 Corp IT Teamのサポート🙏

6. ©10X, Inc. All Rights Reserved. 本日のお品書き
 1. なぜセキュリティチームを作ったのか
 2. これまでの取り組みをご紹介


   3. セキュリティチームのこれから
 6

7. ©10X, Inc. All Rights Reserved. 7 〜その時歴史は動いた〜 なぜセキュリティチームを作ったのか


8. ©10X, Inc. All Rights Reserved. 主な理由は2つ
 1. Think 10xした結果、必要だと考えたから
 2.

   セキュリティチームという箱が存在することが重要だから
 8

9. ©10X, Inc. All Rights Reserved. 主な理由は2つ
 1. Think 10xした結果、必要だと考えたから
 2.

   セキュリティチームという箱が存在することが重要だから
 9

10. ©10X, Inc. All Rights Reserved. Stailerにおけるセキュリティの重要性
 • StailerはいわゆるB to B

    to Cモデルの事業と言える 
 • そのためto C、to Bの両面でセキュリティに向き合っていく必要がある 
 10

11. ©10X, Inc. All Rights Reserved. to C領域におけるセキュリティ
 • いわゆる一般的なECサイトに求められるようなセキュリティ品質が求められる 


    • 「決済情報は適切に守られてほしい」 
 • 「預けた住所や氏名はきちんと守ってほしい」 
 • 「アカウントが乗っ取られないようなセキュリティ機構を提供してほしい」 
 • 等々…
 11

12. ©10X, Inc. All Rights Reserved. ECサイトは攻撃者の格好の的
 • 攻撃者視点だとクレカ情報か個人情報どちらかでも抜ければ大きなリターン 
 •

    直接攻撃はできずとも間接的にECサイトとしての機能を悪用される例もある 
 • サービスの規模が大きくなっていくと攻撃されるのは避けられない 
 
 12

13. ©10X, Inc. All Rights Reserved. to B領域におけるセキュリティ
 • Stailerにおいてはto Cの領域でセキュリティ品質が担保できていることを説明する必要がある

    
 • エンタープライズを始め、Stailerの利用が想定される企業が求めるセキュリティ要件にどう答え ていくかが事業上、重要になる
 13

14. ©10X, Inc. All Rights Reserved. Stailerのセキュリティ品質にどう向き合うか
 • 正直、2022/1の当時に大きなセキュリティIssueが顕在化していたかと言われるとNo 
 •

    チームを作らず、Task Force的にリソースを調整してCriticalなIssueに対応したり、SREチームが 兼務する形を取る、という選択肢もあった 
 • が、兼務や一時的なリソースアサインは関心領域が限定的になってしまったり、取り組みがきち んと続いていかないリスクもあった 
 • Stailerの事業計画＝これからのサービス拡大とパートナー増加を考えるとSmallでもいいから早 めに取り組みを始めるべきと判断した 
 14

15. ©10X, Inc. All Rights Reserved. 当時の予想 ＆ 実際のFact
 • セキュリティ品質の改善は地道でひたすらリスクの芽を整理して潰していくことが求められる足

    の長い取り組み
 ◦ そしておそらくこの取り組みはサービスが成長し続ける限り一生終わることがない
 • チームの組成があと3か月 ~ 半年遅かったら今よりもっと後手に回っている状況だった 
 • 10Xの場合はセキュリティの専門家がいないという大きなハンデもあったので先手を打てたのは よかった
 15

16. ©10X, Inc. All Rights Reserved. 主な理由は2つ
 1. Think 10xした結果、必要だと考えたから
 2.

    セキュリティチームという箱が存在することが重要だから
 16

17. ©10X, Inc. All Rights Reserved. チームが社内にある重要性
 • セキュリティチームが社内にあることでStailerの大小さまざまなセキュリティIssueが1箇所に集約 される
 •

    1箇所に集約し、Ownershipを持つことで「Stailerのセキュリティってどうなってるの」を整理、言語 化することができる
 • 実際にIssueを集めて何が顕在化しているIssueなのかや、明らかにできていないIssue(Known Unknowns)を知ることができた
 17

18. ©10X, Inc. All Rights Reserved. 18 〜チームメイトには頭が上がりません…〜 これまでの取り組みを紹介


19. ©10X, Inc. All Rights Reserved. Issueの棚卸し
 • 当時時点で存在したGitHub Issuesの中からセキュリティにまつわるIssueにラベリングをしていき ました


    • 現在はGitHub Project上で全てのIssueが管理されています 
 19

20. ©10X, Inc. All Rights Reserved. オンデマンドで発生するセキュリティIssueの対応
 • パートナーからの要望に応えるためのセキュリティ対応 
 ◦

    アクセス制限の強化、PIIの監査ログの強化等
 • 各パートナーからの問い合わせ対応 
 • 新規機能のセキュリティレビュー 
 • 年1回のセキュリティ診断の実施 
 20

21. ©10X, Inc. All Rights Reserved. 顕在化しているIssueのうちリスクの高いものへの対応
 • GCP権限の整理
 ◦ 昔は開発者全員、Owner権限を持っている時代もありました。知ってましたか？


    • セキュリティ関連のIncidentの再発防止策 
 • 個人情報の管理体制の改善
 21

22. ©10X, Inc. All Rights Reserved. 予防的な施策の検討
 • GCP上のセキュリティリスクを自動検知するサービス導入の検討 
 •

    個人情報の所在を自動でリスト化するツールの実装 
 • 個人情報の管理体制のToBeデザイン 
 • 外部リソースの活用検討
 22

23. ©10X, Inc. All Rights Reserved. まだまだ地道に解決していくフェーズ ⛰
 • あらゆるものがそうですが、作ったものを直すコストの方が圧倒的に高いようにセキュリティにお いても動いてるものからリスクを洗い出すのが大変です

    
 • 例えば個人情報だとStailerはデータの入口がお客さまだけでなく、企業からも来るので地道に 整理していく必要があります
 • また、権限整理もみなさんの業務に影響がでないように権限をコツコツ絞っていく作業が必要で す
 23

24. ©10X, Inc. All Rights Reserved. 24 〜Stailerがセキュリティ品質を維持したまま10xするために〜 セキュリティチームのこれから


25. ©10X, Inc. All Rights Reserved. セキュリティチームのこれから
 • 顕在化しているIssueの解決
 ◦ 既に判明しているリスクの解消


    • リスクを抑えるための予防的施策 
 ◦ セキュリティリスクの検知体制を整える
 ◦ リスクが発生しないための開発体制や仕組みを構築する
 • 後手に回らないチーム体制の構築 
 25

26. ©10X, Inc. All Rights Reserved. セキュリティチームのあるべき姿
 • セキュリティのトレードオフを理解した上で意思決定する 
 ◦

    セキュリティレベルを上げれば上げるほど、基本的には開発が遅くなったり開発メンバーの体験を損なう
 ◦ このトレードオフをいかにいいポイントに落とせるかがセキュリティチームの腕の見せ所
 ◦ 「権限を絞りたいセキュリティチーム」vs「効率よく開発したい開発チーム」のような構図は絶対に起きないようにしたい
 • 常に先手を打ち続ける
 ◦ 例えばパートナーが増える→問い合わせに頑張って対応する、ではなくある程度予見できるIssueに対して先手を売っ て開発や事業のスピードを緩めずに済むように攻める
 26

27. ©10X, Inc. All Rights Reserved. あるべき姿を目指すために
 • まぁ予想はつくと思いますが採用が急務となってます… 
 •

    採用すべきは2軸
 • 1. セキュリティの専門家を採用する 
 ◦ セキュリティエンジニア（Product Security） 
 • 2. (WIP)セキュリティもできるSWEを採用する 
 ◦ 現在のメンバーのように開発を理解しながらセキュリティIssueを探索する動きのできるメンバーの採用も検討していま す
 
 27

28. ©10X, Inc. All Rights Reserved. 28 Thank you