Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サイボウズのセキュリティの取り組み

A97eee01397705443a72a48ce29d3e19?s=47 Cybozu
PRO
July 23, 2022
Technology
0
88

 サイボウズのセキュリティの取り組み

A97eee01397705443a72a48ce29d3e19?s=128

Cybozu
PRO

July 23, 2022
Tweet

More Decks by Cybozu

See All by Cybozu
Waffle Camp ホームタウン in 札幌 Career Talk Session
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
0
50
モブに早く慣れたい人のためのガイド / A Guide to Getting Started Quickly with Mob Programming
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
3
3.6k
サイボウズの アジャイル・クオリティ / Agile Quality at Cybozu
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
4
5k
セキュリティ 開運研修2022 / security 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
3
6.3k
ソフトウェアライセンス 2022 / Software License 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
1
2.2k
Garoon QA 紹介資料 / Garoon QA
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
1
180
モバイルアプリ開発/Mobile App Development
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
2
12k
GaroonUX リサーチャーお仕事紹介 / GaroonUX Researcher Job Introduction
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
0
230
Garoon 開発チーム / Garoon development team
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
0
750

Other Decks in Technology

See All in Technology
Red Hat Enterprise Linux 9のリリースノートを読む前に知りたい最近のキーワードをまとめて復習
79c2f7db29ee6df3e1ceb85c6a0126d3?s=48 moriwaka
0
360
Micro frontends and micro services
Acc7788c2c6d2c4b43b875fcad502cd2?s=48 kashif98
0
140
hey BOOK
69f5ab96892df4d8cbe32189f2ed2d9d?s=48 heyinc
26
290k
ここが好きだよAWS管理ポリシー_devio2022/i_am_iam_lover
325ce6fcd0a74ff78990b8632817da55?s=48 yukihirochiba
0
3.1k
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
107ea34bd4da51e40f1c30b9ca0c459e?s=48 inomasosan
1
420
2022 COSCUP - GKE Backend Cluster 除雷分享
89f41026db2c96853402524fca4a2ff8?s=48 brentchang
0
120
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
10
19k
Power BI のうらがわ
0cc2ebc5781bcb2cae5f9ab7efa40ff2?s=48 hanaseleb
1
130
フィンテック養成勉強会#24
525442fc70ca92f82ae503f826956137?s=48 finengine
0
330
Step-by-Step MLOps and Microsoft Products
0fa6038e477031fcca028bab0efe07e3?s=48 shisyu_gaku
1
540
Oracle Cloud Infrastructure:2022年7月度サービス・アップデート
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
0
180
セキュアなTerraformの使い方 ~ 機密情報をコードに含めず環境構築するにはどうしたらいいの?
5f0f8883d90b46e581fe41ba9ae4cfe9?s=48 harukasakihara
9
1.5k

Featured

See All Featured
Facilitating Awesome Meetings
245cee81a9c424266e5e401d844ea881?s=48 lara
29
4.1k
BBQ
761be20b5ebd271008bcee1244fc5b52?s=48 matthewcrist
74
7.9k
Infographics Made Easy
282d599b414022eba5096510f675b6e2?s=48 chrislema
233
17k
Bootstrapping a Software Product
A9179349dd2bdc67f377719f56d85656?s=48 garrettdimon
296
110k
The Cult of Friendly URLs
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
68
4.8k
Put a Button on it: Removing Barriers to Going Fast.
Bfd6b681ec6e8c9bef82ff0521c364f7?s=48 kastner
56
2.3k
Clear Off the Table
Ef32e0b1ac5082450dc8c1fca3a26b5c?s=48 cherdarchuk
79
290k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
3d4519fd34b76fb265fc0237f3792bd4?s=48 danielanewman
212
20k
Become a Pro
828ace851b606e1206900f26459f55ad?s=48 speakerdeck
PRO
3
910
Distributed Sagas: A Protocol for Coordinating Microservices
9128d500301ae51524e887bb680f471d?s=48 caitiem20
316
19k
The Straight Up "How To Draw Better" Workshop
Aff5641764408271f7bc398f2097edd0?s=48 denniskardys
225
120k
Typedesign – Prime Four
A0517b08532aec8ab2aae3f65d40ad86?s=48 hannesfritz
34
1.4k

Transcript

  1. サイボウズのセキュリティの取り組み 2022/7/23 LOCAL Developer Day Online '22 /Security

  2. 自己紹介 ▌松本 純 旭川市出身、旭川高専 (システム)制御情報工学科 1994/4/1 某ゲーム会社  ゲームプログラム開発、システム・ネットワーク管理 

    セキュリティ、不正対策(チート・海賊版)、インシデント対応 2022/4/1 サイボウズ株式会社 セキュリティ室 2 (010430)

  3. サイボウズについて ▌会社の理念「チームワークあふれる社会を創る」 チームワークを支えるソフトウェアサービスの開発・運用 会社や組織のチームワークを育てるための活動 3

  4. Cy-SIRT : セキュリティ・インシデント対応チーム ▌Cybozu の SIRT → Cy-SIRT ▌CSIRT 

    Computer Security Incident Response Team  コンピューターセキュリティインシデントに対応するチーム ▌Cybozu = cyber + bozu  電脳 + 坊主(子供) → 電脳社会の未来を担う者達 4

  5. Cy-PSIRT と Cy-SIRT 5 Cy-SIRT Cy-SIRT 会社のセキュリティ セキュリティ室 Cy-PSIRT 製品のセキュリティ

    開発本部に属する

  6. Cy-PSIRT 6 https://blog.cybozu.io/entry/2021/10/08/170000

  7. 7 https://cs.cybozu.co.jp/2022/007584.html

  8. 検出:脆弱性の発見方法 ▌PSIRTメンバによる社内検証 ソースコードや仕様書などを踏まえた検証 ▌第三者による脆弱性診断 外部セキュリティベンダに脆弱性診断を依頼 ▌脆弱性報奨金制度(バグバウンティ) 次ページで詳しく 8

  9. 脆弱性報奨金制度(バグバウンティ) ▌善意のエンジニア(バグハンター)の多様な視点による検証 ▌報告内容を知見として蓄積、製品の堅牢化に活用 ▌2014年スタート ▌バグハンターコミュニティの活性化にも注力 バグハンター合宿、ポイント・ランク制度見直し、報奨金倍増 ▌https://cybozu.co.jp/products/bug-bounty/ 9

  10. Cy-SIRT(セキュリティ室) ▌会社組織としてのセキュリティ対策 社員のセキュリティ教育・訓練、相談対応 セキュリティ認証取得の事務局対応 (ISMS, ISMAP) 外部からの情報収集、社内への発信 対外窓口業務(Cy-SIRT運営) インシデント対応 10

  11. ISMS (ISO/IEC 27001) ▌Information Security Management System 情報セキュリティマネジメントシステム ▌情報資産のセキュリティを管理する枠組みを作り、適切に実施 している組織を認証する仕組み(第三者によるお墨付)

    ステークホルダーの信頼感・安心感を高めたい ▌2011年に認証取得、その後毎年更新 11

  12. ISMAP ▌Information system Security Management and Assessment Program 政府情報システムのためのセキュリティ評価制度 ▌政府のクラウド・バイ・デフォルト原則を背景に制定

    ▌政府機関は、原則として「ISMAPクラウドサービスリスト」に掲 載されたサービスから調達を行う ▌2021年、ISMAPクラウドサービスリストに掲載 国内SaaSベンダで一番乗り! 12

  13. 外部セキュリティ団体との交流・情報交換 ▌IPA, JPCERT/CC ▌NCA (日本シーサート協議会) ▌JNSA (日本ネットワークセキュリティ協会), ISOG-J ▌Software ISAC

    (CSAJ) ▌セキュリティ・キャンプ、SecHack365 ▌イベント協賛、勉強会・セミナー参加など 13

  14. なぜ外部と積極的に交流するのか? ▌セキュリティインシデントは自社だけで対応することが困難 攻撃手法の多様化・高度化・複雑化 自社だけで蓄積できるノウハウには限りがある インシデント対応には外部の様々な組織との連携が必要 ▌各組織の経験や情報を、ルールに則りながら共有 効率的・効果的なセキュリティ対策に活用、皆で底上げを! 14

  15. セキュリティの仕事に必要なもの(私見) ▌事業やリスクへの理解 ▌コミュニケーション力(社内・社外) ▌技術 ネットワーク、セキュリティ、規格、インシデント事例調査 ▌継続的な情報収集・学習 コミュニティ活動大事、切磋琢磨できる仲間大事 15

  16. サイボウズ セキュリティ室 Twitter ▌https://twitter.com/CybozuSecurity ▌少人数で頑張るCSIRTを応援したい セキュリティの仕事にチームワークを! ▌セキュリティ業務や今関心のあるトピックを発信 ▌セキュリティに興味を持ってもらいたい、事業会社のセキュリティ チームの活動を知ってほしい 16