$30 off During Our Annual Pro Sale. View Details »

サイボウズのセキュリティの取り組み

 サイボウズのセキュリティの取り組み

Cybozu
PRO

July 23, 2022
Tweet

More Decks by Cybozu

Other Decks in Technology

Transcript

  1. サイボウズのセキュリティの取り組み
    2022/7/23
    LOCAL Developer Day Online '22 /Security

    View Slide

  2. 自己紹介
    ▌松本 純
    旭川市出身、旭川高専 (システム)制御情報工学科
    1994/4/1 某ゲーム会社
     ゲームプログラム開発、システム・ネットワーク管理
     セキュリティ、不正対策(チート・海賊版)、インシデント対応
    2022/4/1 サイボウズ株式会社 セキュリティ室
    2
    (010430)

    View Slide

  3. サイボウズについて
    ▌会社の理念「チームワークあふれる社会を創る」
    チームワークを支えるソフトウェアサービスの開発・運用
    会社や組織のチームワークを育てるための活動
    3

    View Slide

  4. Cy-SIRT : セキュリティ・インシデント対応チーム
    ▌Cybozu の SIRT → Cy-SIRT
    ▌CSIRT
     Computer Security Incident Response Team
     コンピューターセキュリティインシデントに対応するチーム
    ▌Cybozu = cyber + bozu
     電脳 + 坊主(子供) → 電脳社会の未来を担う者達
    4

    View Slide

  5. Cy-PSIRT と Cy-SIRT
    5
    Cy-SIRT
    Cy-SIRT
    会社のセキュリティ
    セキュリティ室
    Cy-PSIRT
    製品のセキュリティ
    開発本部に属する

    View Slide

  6. Cy-PSIRT
    6
    https://blog.cybozu.io/entry/2021/10/08/170000

    View Slide

  7. 7
    https://cs.cybozu.co.jp/2022/007584.html

    View Slide

  8. 検出:脆弱性の発見方法
    ▌PSIRTメンバによる社内検証
    ソースコードや仕様書などを踏まえた検証
    ▌第三者による脆弱性診断
    外部セキュリティベンダに脆弱性診断を依頼
    ▌脆弱性報奨金制度(バグバウンティ)
    次ページで詳しく
    8

    View Slide

  9. 脆弱性報奨金制度(バグバウンティ)
    ▌善意のエンジニア(バグハンター)の多様な視点による検証
    ▌報告内容を知見として蓄積、製品の堅牢化に活用
    ▌2014年スタート
    ▌バグハンターコミュニティの活性化にも注力
    バグハンター合宿、ポイント・ランク制度見直し、報奨金倍増
    ▌https://cybozu.co.jp/products/bug-bounty/
    9

    View Slide

  10. Cy-SIRT(セキュリティ室)
    ▌会社組織としてのセキュリティ対策
    社員のセキュリティ教育・訓練、相談対応
    セキュリティ認証取得の事務局対応 (ISMS, ISMAP)
    外部からの情報収集、社内への発信
    対外窓口業務(Cy-SIRT運営)
    インシデント対応
    10

    View Slide

  11. ISMS (ISO/IEC 27001)
    ▌Information Security Management System
    情報セキュリティマネジメントシステム
    ▌情報資産のセキュリティを管理する枠組みを作り、適切に実施
    している組織を認証する仕組み(第三者によるお墨付)
    ステークホルダーの信頼感・安心感を高めたい
    ▌2011年に認証取得、その後毎年更新
    11

    View Slide

  12. ISMAP
    ▌Information system Security Management and Assessment Program
    政府情報システムのためのセキュリティ評価制度
    ▌政府のクラウド・バイ・デフォルト原則を背景に制定
    ▌政府機関は、原則として「ISMAPクラウドサービスリスト」に掲
    載されたサービスから調達を行う
    ▌2021年、ISMAPクラウドサービスリストに掲載
    国内SaaSベンダで一番乗り!
    12

    View Slide

  13. 外部セキュリティ団体との交流・情報交換
    ▌IPA, JPCERT/CC
    ▌NCA (日本シーサート協議会)
    ▌JNSA (日本ネットワークセキュリティ協会), ISOG-J
    ▌Software ISAC (CSAJ)
    ▌セキュリティ・キャンプ、SecHack365
    ▌イベント協賛、勉強会・セミナー参加など
    13

    View Slide

  14. なぜ外部と積極的に交流するのか?
    ▌セキュリティインシデントは自社だけで対応することが困難
    攻撃手法の多様化・高度化・複雑化
    自社だけで蓄積できるノウハウには限りがある
    インシデント対応には外部の様々な組織との連携が必要
    ▌各組織の経験や情報を、ルールに則りながら共有
    効率的・効果的なセキュリティ対策に活用、皆で底上げを!
    14

    View Slide

  15. セキュリティの仕事に必要なもの(私見)
    ▌事業やリスクへの理解
    ▌コミュニケーション力(社内・社外)
    ▌技術
    ネットワーク、セキュリティ、規格、インシデント事例調査
    ▌継続的な情報収集・学習
    コミュニティ活動大事、切磋琢磨できる仲間大事
    15

    View Slide

  16. サイボウズ セキュリティ室 Twitter
    ▌https://twitter.com/CybozuSecurity
    ▌少人数で頑張るCSIRTを応援したい
    セキュリティの仕事にチームワークを!
    ▌セキュリティ業務や今関心のあるトピックを発信
    ▌セキュリティに興味を持ってもらいたい、事業会社のセキュリティ
    チームの活動を知ってほしい
    16

    View Slide