サイボウズのセキュリティの取り組み2022/7/23LOCAL Developer Day Online '22 /Security
View Slide
自己紹介▌松本 純旭川市出身、旭川高専 (システム)制御情報工学科1994/4/1 某ゲーム会社 ゲームプログラム開発、システム・ネットワーク管理 セキュリティ、不正対策(チート・海賊版)、インシデント対応2022/4/1 サイボウズ株式会社 セキュリティ室2(010430)
サイボウズについて▌会社の理念「チームワークあふれる社会を創る」チームワークを支えるソフトウェアサービスの開発・運用会社や組織のチームワークを育てるための活動3
Cy-SIRT : セキュリティ・インシデント対応チーム▌Cybozu の SIRT → Cy-SIRT▌CSIRT Computer Security Incident Response Team コンピューターセキュリティインシデントに対応するチーム▌Cybozu = cyber + bozu 電脳 + 坊主(子供) → 電脳社会の未来を担う者達4
Cy-PSIRT と Cy-SIRT5Cy-SIRTCy-SIRT会社のセキュリティセキュリティ室Cy-PSIRT製品のセキュリティ開発本部に属する
Cy-PSIRT6https://blog.cybozu.io/entry/2021/10/08/170000
7https://cs.cybozu.co.jp/2022/007584.html
検出:脆弱性の発見方法▌PSIRTメンバによる社内検証ソースコードや仕様書などを踏まえた検証▌第三者による脆弱性診断外部セキュリティベンダに脆弱性診断を依頼▌脆弱性報奨金制度(バグバウンティ)次ページで詳しく8
脆弱性報奨金制度(バグバウンティ)▌善意のエンジニア(バグハンター)の多様な視点による検証▌報告内容を知見として蓄積、製品の堅牢化に活用▌2014年スタート▌バグハンターコミュニティの活性化にも注力バグハンター合宿、ポイント・ランク制度見直し、報奨金倍増▌https://cybozu.co.jp/products/bug-bounty/9
Cy-SIRT(セキュリティ室)▌会社組織としてのセキュリティ対策社員のセキュリティ教育・訓練、相談対応セキュリティ認証取得の事務局対応 (ISMS, ISMAP)外部からの情報収集、社内への発信対外窓口業務(Cy-SIRT運営)インシデント対応10
ISMS (ISO/IEC 27001)▌Information Security Management System情報セキュリティマネジメントシステム▌情報資産のセキュリティを管理する枠組みを作り、適切に実施している組織を認証する仕組み(第三者によるお墨付)ステークホルダーの信頼感・安心感を高めたい▌2011年に認証取得、その後毎年更新11
ISMAP▌Information system Security Management and Assessment Program政府情報システムのためのセキュリティ評価制度▌政府のクラウド・バイ・デフォルト原則を背景に制定▌政府機関は、原則として「ISMAPクラウドサービスリスト」に掲載されたサービスから調達を行う▌2021年、ISMAPクラウドサービスリストに掲載国内SaaSベンダで一番乗り!12
外部セキュリティ団体との交流・情報交換▌IPA, JPCERT/CC▌NCA (日本シーサート協議会)▌JNSA (日本ネットワークセキュリティ協会), ISOG-J▌Software ISAC (CSAJ)▌セキュリティ・キャンプ、SecHack365▌イベント協賛、勉強会・セミナー参加など13
なぜ外部と積極的に交流するのか?▌セキュリティインシデントは自社だけで対応することが困難攻撃手法の多様化・高度化・複雑化自社だけで蓄積できるノウハウには限りがあるインシデント対応には外部の様々な組織との連携が必要▌各組織の経験や情報を、ルールに則りながら共有効率的・効果的なセキュリティ対策に活用、皆で底上げを!14
セキュリティの仕事に必要なもの(私見)▌事業やリスクへの理解▌コミュニケーション力(社内・社外)▌技術ネットワーク、セキュリティ、規格、インシデント事例調査▌継続的な情報収集・学習コミュニティ活動大事、切磋琢磨できる仲間大事15
サイボウズ セキュリティ室 Twitter▌https://twitter.com/CybozuSecurity▌少人数で頑張るCSIRTを応援したいセキュリティの仕事にチームワークを!▌セキュリティ業務や今関心のあるトピックを発信▌セキュリティに興味を持ってもらいたい、事業会社のセキュリティチームの活動を知ってほしい16