Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サイボウズのセキュリティの取り組み
Search
Cybozu
PRO
July 23, 2022
Technology
1
1k
サイボウズのセキュリティの取り組み
Cybozu
PRO
July 23, 2022
Tweet
Share
More Decks by Cybozu
See All by Cybozu
kintone開発のプラットフォームエンジニアの紹介
cybozuinsideout
PRO
0
550
テクニカルライター (グループウェア) について
cybozuinsideout
PRO
0
54
つけまが降ってきた日
cybozuinsideout
PRO
1
490
「行ってよかった!」をみんなに広げる
cybozuinsideout
PRO
0
160
不具合の先にある面白さ~配属3か月目の新卒QAのいま~
cybozuinsideout
PRO
0
440
kintone開発チームの紹介
cybozuinsideout
PRO
1
86k
AIツール開発ワークショップ(Dify)【サイボウズ新人研修2025】
cybozuinsideout
PRO
22
26k
モバイル【サイボウズ新人研修2025】
cybozuinsideout
PRO
3
4.6k
Git/GitHub を使う上で知っておくと嬉しいかも Tips【サイボウズ新人研修2025】
cybozuinsideout
PRO
16
12k
Other Decks in Technology
See All in Technology
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
yuriemori
0
520
アウトプットはいいぞ / output_iizo
uhooi
0
130
BPaaSオペレーション・kubell社内 n8n活用による効率化検証事例紹介
kentarofujii
0
130
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3.7k
2026/01/16_実体験から学ぶ 2025年の失敗と対策_Progate Bar
teba_eleven
1
210
田舎で20年スクラム(後編):一個人が企業で長期戦アジャイルに挑む意味
chinmo
1
1.6k
Data Intelligence on Lakehouse Paradigm
scotthsieh825
0
180
Scrum Guide Expansion Pack が示す現代プロダクト開発への補完的視点
sonjin
0
800
ファインディにおけるフロントエンド技術選定の歴史
puku0x
2
1.6k
Introduction to Sansan Meishi Maker Development Engineer
sansan33
PRO
0
340
習慣とAIと環境 — 技術探求を続ける3つの鍵
azukiazusa1
2
680
AI との良い付き合い方を僕らは誰も知らない (WSS 2026 静岡版)
asei
1
360
Featured
See All Featured
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
0
250
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.3k
Mind Mapping
helmedeiros
PRO
0
53
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
0
290
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
82
End of SEO as We Know It (SMX Advanced Version)
ipullrank
2
3.9k
A Tale of Four Properties
chriscoyier
162
24k
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
110
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
0
240
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
99
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
140
Transcript
サイボウズのセキュリティの取り組み 2022/7/23 LOCAL Developer Day Online '22 /Security
自己紹介 ▌松本 純 旭川市出身、旭川高専 (システム)制御情報工学科 1994/4/1 某ゲーム会社 ゲームプログラム開発、システム・ネットワーク管理
セキュリティ、不正対策(チート・海賊版)、インシデント対応 2022/4/1 サイボウズ株式会社 セキュリティ室 2 (010430)
サイボウズについて ▌会社の理念「チームワークあふれる社会を創る」 チームワークを支えるソフトウェアサービスの開発・運用 会社や組織のチームワークを育てるための活動 3
Cy-SIRT : セキュリティ・インシデント対応チーム ▌Cybozu の SIRT → Cy-SIRT ▌CSIRT
Computer Security Incident Response Team コンピューターセキュリティインシデントに対応するチーム ▌Cybozu = cyber + bozu 電脳 + 坊主(子供) → 電脳社会の未来を担う者達 4
Cy-PSIRT と Cy-SIRT 5 Cy-SIRT Cy-SIRT 会社のセキュリティ セキュリティ室 Cy-PSIRT 製品のセキュリティ
開発本部に属する
Cy-PSIRT 6 https://blog.cybozu.io/entry/2021/10/08/170000
7 https://cs.cybozu.co.jp/2022/007584.html
検出:脆弱性の発見方法 ▌PSIRTメンバによる社内検証 ソースコードや仕様書などを踏まえた検証 ▌第三者による脆弱性診断 外部セキュリティベンダに脆弱性診断を依頼 ▌脆弱性報奨金制度(バグバウンティ) 次ページで詳しく 8
脆弱性報奨金制度(バグバウンティ) ▌善意のエンジニア(バグハンター)の多様な視点による検証 ▌報告内容を知見として蓄積、製品の堅牢化に活用 ▌2014年スタート ▌バグハンターコミュニティの活性化にも注力 バグハンター合宿、ポイント・ランク制度見直し、報奨金倍増 ▌https://cybozu.co.jp/products/bug-bounty/ 9
Cy-SIRT(セキュリティ室) ▌会社組織としてのセキュリティ対策 社員のセキュリティ教育・訓練、相談対応 セキュリティ認証取得の事務局対応 (ISMS, ISMAP) 外部からの情報収集、社内への発信 対外窓口業務(Cy-SIRT運営) インシデント対応 10
ISMS (ISO/IEC 27001) ▌Information Security Management System 情報セキュリティマネジメントシステム ▌情報資産のセキュリティを管理する枠組みを作り、適切に実施 している組織を認証する仕組み(第三者によるお墨付)
ステークホルダーの信頼感・安心感を高めたい ▌2011年に認証取得、その後毎年更新 11
ISMAP ▌Information system Security Management and Assessment Program 政府情報システムのためのセキュリティ評価制度 ▌政府のクラウド・バイ・デフォルト原則を背景に制定
▌政府機関は、原則として「ISMAPクラウドサービスリスト」に掲 載されたサービスから調達を行う ▌2021年、ISMAPクラウドサービスリストに掲載 国内SaaSベンダで一番乗り! 12
外部セキュリティ団体との交流・情報交換 ▌IPA, JPCERT/CC ▌NCA (日本シーサート協議会) ▌JNSA (日本ネットワークセキュリティ協会), ISOG-J ▌Software ISAC
(CSAJ) ▌セキュリティ・キャンプ、SecHack365 ▌イベント協賛、勉強会・セミナー参加など 13
なぜ外部と積極的に交流するのか? ▌セキュリティインシデントは自社だけで対応することが困難 攻撃手法の多様化・高度化・複雑化 自社だけで蓄積できるノウハウには限りがある インシデント対応には外部の様々な組織との連携が必要 ▌各組織の経験や情報を、ルールに則りながら共有 効率的・効果的なセキュリティ対策に活用、皆で底上げを! 14
セキュリティの仕事に必要なもの(私見) ▌事業やリスクへの理解 ▌コミュニケーション力(社内・社外) ▌技術 ネットワーク、セキュリティ、規格、インシデント事例調査 ▌継続的な情報収集・学習 コミュニティ活動大事、切磋琢磨できる仲間大事 15
サイボウズ セキュリティ室 Twitter ▌https://twitter.com/CybozuSecurity ▌少人数で頑張るCSIRTを応援したい セキュリティの仕事にチームワークを! ▌セキュリティ業務や今関心のあるトピックを発信 ▌セキュリティに興味を持ってもらいたい、事業会社のセキュリティ チームの活動を知ってほしい 16
cybozuinsideout
yuriemori
uhooi
kentarofujii
sansan33
teba_eleven
chinmo
scotthsieh825
sonjin
puku0x
azukiazusa1
asei
katarinadahlin
eileencodes
helmedeiros
addyosmani
jdejongh
ipullrank
chriscoyier
gurzu
reverentgeek
sabderemane
inesmontani
