Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サイボウズのセキュリティの取り組み

Avatar for Cybozu Cybozu PRO
July 23, 2022
Technology
1.1k
1

 サイボウズのセキュリティの取り組み

Avatar for Cybozu

Cybozu PRO

July 23, 2022

More Decks by Cybozu

See All by Cybozu
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
Avatar for Cybozu cybozuinsideout
PRO
10
79k
kintone リサーチ副部/UXリサーチャー 業務紹介
Avatar for Cybozu cybozuinsideout
PRO
0
59
私たちが『JaSST協賛』から『外部コネクト』チームになった理由
Avatar for Cybozu cybozuinsideout
PRO
0
280
LLMでもいつものテスト技術〜意外と半分はこれまでのテストでした〜
Avatar for Cybozu cybozuinsideout
PRO
1
730
kintone開発のプラットフォームエンジニアの紹介
Avatar for Cybozu cybozuinsideout
PRO
0
1.2k
LLMアプリの品質保証
Avatar for Cybozu cybozuinsideout
PRO
1
540
技術広報チームに丸投げしない!「一緒につくる」スポンサー活動
Avatar for Cybozu cybozuinsideout
PRO
0
220
テクニカルライター (グループウェア) について
Avatar for Cybozu cybozuinsideout
PRO
0
190
つけまが降ってきた日
Avatar for Cybozu cybozuinsideout
PRO
1
680

Other Decks in Technology

See All in Technology
要件定義の精度を高めるための型と生成AIの活用 / Using Types and Generative AI to Improve the Accuracy of Requirements Definition
Avatar for haru860 haru860
0
290
プラットフォームエンジニアリングの実践 - AWS コンテナサービスで構築する社内プラットフォーム / AWS Containers Platform Meetup #1
Avatar for Masatoshi Hayashi literalice
1
240
20260423_ハドソンのエロゲを追え_レトロゲーム
Avatar for フクイ poropinai1966
0
110
MySQL 9.7がやってきた ~これまでのあらすじと基本情報~ @ 日本MySQLユーザ会会2026年04月 / mysql97-yattekita
Avatar for sakaik sakaik
0
170
世界の中心でApp Runnerを叫ぶ FINAL
Avatar for つくぼし tsukuboshi
0
220
GitHub Copilot Dev Days
Avatar for tomokusaba tomokusaba
0
140
AndroidアプリとCopilot Studioの統合
Avatar for なかしょ nakasho
0
200
バイブコーディングで3倍早く⚪⚪を作ってみた
Avatar for Sam Akada samakada
0
210
サービスの信頼性を高めるため、形骸化した「プロダクションミーティング」を立て直すまでの取り組み
Avatar for すてにゃん stefafafan
1
220
生成AIはソフトウェア開発の革命か、ソフトウェア工学の宿題再提出なのか -ソフトウェア品質特性の追加提案-
Avatar for kyonmm kyonmm
PRO
2
820
国内外の生成AIセキュリティの最新動向 & AIガードレール製品「chakoshi」のご紹介 / Latest Trends in Generative AI Security (Domestic & International) & Introduction to AI Guardrail Product "chakoshi"
Avatar for NTT docomo Business nttcom
4
1.7k
古今東西SRE
Avatar for Kaoru okaru
1
120

Featured

See All Featured
Side Projects
Avatar for Sacha Greif sachag
455
43k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.9k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
180
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Utilizing Notion as your number one productivity tool
Avatar for Mfonobong Umondia mfonobong
4
300
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
860
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.3k
Kristin Tynski - Automating Marketing Tasks With AI
Avatar for Tech SEO Connect techseoconnect
PRO
0
240
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.2k
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
320
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
1
530

Transcript

  1. サイボウズのセキュリティの取り組み 2022/7/23 LOCAL Developer Day Online '22 /Security

  2. 自己紹介 ▌松本 純 旭川市出身、旭川高専 (システム)制御情報工学科 1994/4/1 某ゲーム会社  ゲームプログラム開発、システム・ネットワーク管理 

    セキュリティ、不正対策(チート・海賊版)、インシデント対応 2022/4/1 サイボウズ株式会社 セキュリティ室 2 (010430)

  3. サイボウズについて ▌会社の理念「チームワークあふれる社会を創る」 チームワークを支えるソフトウェアサービスの開発・運用 会社や組織のチームワークを育てるための活動 3

  4. Cy-SIRT : セキュリティ・インシデント対応チーム ▌Cybozu の SIRT → Cy-SIRT ▌CSIRT 

    Computer Security Incident Response Team  コンピューターセキュリティインシデントに対応するチーム ▌Cybozu = cyber + bozu  電脳 + 坊主(子供) → 電脳社会の未来を担う者達 4

  5. Cy-PSIRT と Cy-SIRT 5 Cy-SIRT Cy-SIRT 会社のセキュリティ セキュリティ室 Cy-PSIRT 製品のセキュリティ

    開発本部に属する

  6. Cy-PSIRT 6 https://blog.cybozu.io/entry/2021/10/08/170000

  7. 7 https://cs.cybozu.co.jp/2022/007584.html

  8. 検出:脆弱性の発見方法 ▌PSIRTメンバによる社内検証 ソースコードや仕様書などを踏まえた検証 ▌第三者による脆弱性診断 外部セキュリティベンダに脆弱性診断を依頼 ▌脆弱性報奨金制度(バグバウンティ) 次ページで詳しく 8

  9. 脆弱性報奨金制度(バグバウンティ) ▌善意のエンジニア(バグハンター)の多様な視点による検証 ▌報告内容を知見として蓄積、製品の堅牢化に活用 ▌2014年スタート ▌バグハンターコミュニティの活性化にも注力 バグハンター合宿、ポイント・ランク制度見直し、報奨金倍増 ▌https://cybozu.co.jp/products/bug-bounty/ 9

  10. Cy-SIRT(セキュリティ室) ▌会社組織としてのセキュリティ対策 社員のセキュリティ教育・訓練、相談対応 セキュリティ認証取得の事務局対応 (ISMS, ISMAP) 外部からの情報収集、社内への発信 対外窓口業務(Cy-SIRT運営) インシデント対応 10

  11. ISMS (ISO/IEC 27001) ▌Information Security Management System 情報セキュリティマネジメントシステム ▌情報資産のセキュリティを管理する枠組みを作り、適切に実施 している組織を認証する仕組み(第三者によるお墨付)

    ステークホルダーの信頼感・安心感を高めたい ▌2011年に認証取得、その後毎年更新 11

  12. ISMAP ▌Information system Security Management and Assessment Program 政府情報システムのためのセキュリティ評価制度 ▌政府のクラウド・バイ・デフォルト原則を背景に制定

    ▌政府機関は、原則として「ISMAPクラウドサービスリスト」に掲 載されたサービスから調達を行う ▌2021年、ISMAPクラウドサービスリストに掲載 国内SaaSベンダで一番乗り! 12

  13. 外部セキュリティ団体との交流・情報交換 ▌IPA, JPCERT/CC ▌NCA (日本シーサート協議会) ▌JNSA (日本ネットワークセキュリティ協会), ISOG-J ▌Software ISAC

    (CSAJ) ▌セキュリティ・キャンプ、SecHack365 ▌イベント協賛、勉強会・セミナー参加など 13

  14. なぜ外部と積極的に交流するのか? ▌セキュリティインシデントは自社だけで対応することが困難 攻撃手法の多様化・高度化・複雑化 自社だけで蓄積できるノウハウには限りがある インシデント対応には外部の様々な組織との連携が必要 ▌各組織の経験や情報を、ルールに則りながら共有 効率的・効果的なセキュリティ対策に活用、皆で底上げを! 14

  15. セキュリティの仕事に必要なもの(私見) ▌事業やリスクへの理解 ▌コミュニケーション力(社内・社外) ▌技術 ネットワーク、セキュリティ、規格、インシデント事例調査 ▌継続的な情報収集・学習 コミュニティ活動大事、切磋琢磨できる仲間大事 15

  16. サイボウズ セキュリティ室 Twitter ▌https://twitter.com/CybozuSecurity ▌少人数で頑張るCSIRTを応援したい セキュリティの仕事にチームワークを! ▌セキュリティ業務や今関心のあるトピックを発信 ▌セキュリティに興味を持ってもらいたい、事業会社のセキュリティ チームの活動を知ってほしい 16