Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Team at 10X inc / セキュリティチームの今@開発共有会

10xinc
October 03, 2023
80

Security Team at 10X inc / セキュリティチームの今@開発共有会

2022/8/31に10X社内で行った開発共有会にて発表したセキュリティチームに関するスライドです。

10xinc

October 03, 2023
Tweet

More Decks by 10xinc

Transcript

  1. ©10X, Inc. All Rights Reserved.
    セキュリティチームの今

    2022/08/31 開発共有会@オンライン
    1

    View full-size slide

  2. ©10X, Inc. All Rights Reserved.
    ● @sota1235
    ● 隙間に落ちるボールを拾っては落としての日々を
    送っています🥎
    ● 好きな脆弱性はXSSです
    初めましての方は初めまして

    2

    View full-size slide

  3. ©10X, Inc. All Rights Reserved. 3
    今日はセキュリティチームの話をします


    View full-size slide

  4. ©10X, Inc. All Rights Reserved.
    About セキュリティチーム

    ● 立て付けとしてはDevelopment Platform配下のSubTeam

    ● 2022/01から存在

    ● Mission: Stailerで扱う全ての情報、システムが安全であることを目指す


    4

    View full-size slide

  5. ©10X, Inc. All Rights Reserved.
    Members

    5
    @swdyh
    SubTeam leader
    @sota1235
    (0.5人)

    Reliability Teamのヘルプ 🙏
    Corp IT Teamのサポート🙏

    View full-size slide

  6. ©10X, Inc. All Rights Reserved.
    本日のお品書き

    1. なぜセキュリティチームを作ったのか

    2. これまでの取り組みをご紹介

    3. セキュリティチームのこれから

    6

    View full-size slide

  7. ©10X, Inc. All Rights Reserved. 7
    〜その時歴史は動いた〜
    なぜセキュリティチームを作ったのか


    View full-size slide

  8. ©10X, Inc. All Rights Reserved.
    主な理由は2つ

    1. Think 10xした結果、必要だと考えたから

    2. セキュリティチームという箱が存在することが重要だから

    8

    View full-size slide

  9. ©10X, Inc. All Rights Reserved.
    主な理由は2つ

    1. Think 10xした結果、必要だと考えたから

    2. セキュリティチームという箱が存在することが重要だから

    9

    View full-size slide

  10. ©10X, Inc. All Rights Reserved.
    Stailerにおけるセキュリティの重要性

    ● StailerはいわゆるB to B to Cモデルの事業と言える

    ● そのためto C、to Bの両面でセキュリティに向き合っていく必要がある

    10

    View full-size slide

  11. ©10X, Inc. All Rights Reserved.
    to C領域におけるセキュリティ

    ● いわゆる一般的なECサイトに求められるようなセキュリティ品質が求められる

    ● 「決済情報は適切に守られてほしい」

    ● 「預けた住所や氏名はきちんと守ってほしい」

    ● 「アカウントが乗っ取られないようなセキュリティ機構を提供してほしい」

    ● 等々…

    11

    View full-size slide

  12. ©10X, Inc. All Rights Reserved.
    ECサイトは攻撃者の格好の的

    ● 攻撃者視点だとクレカ情報か個人情報どちらかでも抜ければ大きなリターン

    ● 直接攻撃はできずとも間接的にECサイトとしての機能を悪用される例もある

    ● サービスの規模が大きくなっていくと攻撃されるのは避けられない


    12

    View full-size slide

  13. ©10X, Inc. All Rights Reserved.
    to B領域におけるセキュリティ

    ● Stailerにおいてはto Cの領域でセキュリティ品質が担保できていることを説明する必要がある

    ● エンタープライズを始め、Stailerの利用が想定される企業が求めるセキュリティ要件にどう答え
    ていくかが事業上、重要になる

    13

    View full-size slide

  14. ©10X, Inc. All Rights Reserved.
    Stailerのセキュリティ品質にどう向き合うか

    ● 正直、2022/1の当時に大きなセキュリティIssueが顕在化していたかと言われるとNo

    ● チームを作らず、Task Force的にリソースを調整してCriticalなIssueに対応したり、SREチームが
    兼務する形を取る、という選択肢もあった

    ● が、兼務や一時的なリソースアサインは関心領域が限定的になってしまったり、取り組みがきち
    んと続いていかないリスクもあった

    ● Stailerの事業計画=これからのサービス拡大とパートナー増加を考えるとSmallでもいいから早
    めに取り組みを始めるべきと判断した

    14

    View full-size slide

  15. ©10X, Inc. All Rights Reserved.
    当時の予想 & 実際のFact

    ● セキュリティ品質の改善は地道でひたすらリスクの芽を整理して潰していくことが求められる足
    の長い取り組み

    ○ そしておそらくこの取り組みはサービスが成長し続ける限り一生終わることがない

    ● チームの組成があと3か月 ~ 半年遅かったら今よりもっと後手に回っている状況だった

    ● 10Xの場合はセキュリティの専門家がいないという大きなハンデもあったので先手を打てたのは
    よかった

    15

    View full-size slide

  16. ©10X, Inc. All Rights Reserved.
    主な理由は2つ

    1. Think 10xした結果、必要だと考えたから

    2. セキュリティチームという箱が存在することが重要だから

    16

    View full-size slide

  17. ©10X, Inc. All Rights Reserved.
    チームが社内にある重要性

    ● セキュリティチームが社内にあることでStailerの大小さまざまなセキュリティIssueが1箇所に集約
    される

    ● 1箇所に集約し、Ownershipを持つことで「Stailerのセキュリティってどうなってるの」を整理、言語
    化することができる

    ● 実際にIssueを集めて何が顕在化しているIssueなのかや、明らかにできていないIssue(Known
    Unknowns)を知ることができた

    17

    View full-size slide

  18. ©10X, Inc. All Rights Reserved. 18
    〜チームメイトには頭が上がりません…〜
    これまでの取り組みを紹介


    View full-size slide

  19. ©10X, Inc. All Rights Reserved.
    Issueの棚卸し

    ● 当時時点で存在したGitHub Issuesの中からセキュリティにまつわるIssueにラベリングをしていき
    ました

    ● 現在はGitHub Project上で全てのIssueが管理されています

    19

    View full-size slide

  20. ©10X, Inc. All Rights Reserved.
    オンデマンドで発生するセキュリティIssueの対応

    ● パートナーからの要望に応えるためのセキュリティ対応

    ○ アクセス制限の強化、PIIの監査ログの強化等

    ● 各パートナーからの問い合わせ対応

    ● 新規機能のセキュリティレビュー

    ● 年1回のセキュリティ診断の実施

    20

    View full-size slide

  21. ©10X, Inc. All Rights Reserved.
    顕在化しているIssueのうちリスクの高いものへの対応

    ● GCP権限の整理

    ○ 昔は開発者全員、Owner権限を持っている時代もありました。知ってましたか?

    ● セキュリティ関連のIncidentの再発防止策

    ● 個人情報の管理体制の改善

    21

    View full-size slide

  22. ©10X, Inc. All Rights Reserved.
    予防的な施策の検討

    ● GCP上のセキュリティリスクを自動検知するサービス導入の検討

    ● 個人情報の所在を自動でリスト化するツールの実装

    ● 個人情報の管理体制のToBeデザイン

    ● 外部リソースの活用検討

    22

    View full-size slide

  23. ©10X, Inc. All Rights Reserved.
    まだまだ地道に解決していくフェーズ ⛰

    ● あらゆるものがそうですが、作ったものを直すコストの方が圧倒的に高いようにセキュリティにお
    いても動いてるものからリスクを洗い出すのが大変です

    ● 例えば個人情報だとStailerはデータの入口がお客さまだけでなく、企業からも来るので地道に
    整理していく必要があります

    ● また、権限整理もみなさんの業務に影響がでないように権限をコツコツ絞っていく作業が必要で
    す

    23

    View full-size slide

  24. ©10X, Inc. All Rights Reserved. 24
    〜Stailerがセキュリティ品質を維持したまま10xするために〜
    セキュリティチームのこれから


    View full-size slide

  25. ©10X, Inc. All Rights Reserved.
    セキュリティチームのこれから

    ● 顕在化しているIssueの解決

    ○ 既に判明しているリスクの解消

    ● リスクを抑えるための予防的施策

    ○ セキュリティリスクの検知体制を整える

    ○ リスクが発生しないための開発体制や仕組みを構築する

    ● 後手に回らないチーム体制の構築

    25

    View full-size slide

  26. ©10X, Inc. All Rights Reserved.
    セキュリティチームのあるべき姿

    ● セキュリティのトレードオフを理解した上で意思決定する

    ○ セキュリティレベルを上げれば上げるほど、基本的には開発が遅くなったり開発メンバーの体験を損なう

    ○ このトレードオフをいかにいいポイントに落とせるかがセキュリティチームの腕の見せ所

    ○ 「権限を絞りたいセキュリティチーム」vs「効率よく開発したい開発チーム」のような構図は絶対に起きないようにしたい

    ● 常に先手を打ち続ける

    ○ 例えばパートナーが増える→問い合わせに頑張って対応する、ではなくある程度予見できるIssueに対して先手を売っ
    て開発や事業のスピードを緩めずに済むように攻める

    26

    View full-size slide

  27. ©10X, Inc. All Rights Reserved.
    あるべき姿を目指すために

    ● まぁ予想はつくと思いますが採用が急務となってます…

    ● 採用すべきは2軸

    ● 1. セキュリティの専門家を採用する

    ○ セキュリティエンジニア(Product Security) 

    ● 2. (WIP)セキュリティもできるSWEを採用する

    ○ 現在のメンバーのように開発を理解しながらセキュリティIssueを探索する動きのできるメンバーの採用も検討していま
    す


    27

    View full-size slide

  28. ©10X, Inc. All Rights Reserved. 28
    Thank you


    View full-size slide