$30 off During Our Annual Pro Sale. View Details »

サイボウズのセキュリティの取り組み

Cybozu
PRO
July 23, 2022
Technology
1
600

 サイボウズのセキュリティの取り組み

Cybozu
PRO

July 23, 2022
Tweet

More Decks by Cybozu

See All by Cybozu
kintone テクニカルライター採用ピッチ資料
cybozuinsideout
PRO
0
710
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
0
2.2k
サイボウズ エンジニア採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
9
33k
サイボウズのQAエンジニアと社内勉強会チーム「ミネルヴァ」の紹介
cybozuinsideout
PRO
2
72
生産性向上チームの紹介
cybozuinsideout
PRO
1
260
サイボウズの「バックエンドエンジニア」とは
cybozuinsideout
PRO
2
270
英語ができなかった自分たちが、グローバルチームの立ち上げに挑戦!?
cybozuinsideout
PRO
1
1.1k
サイボウズのモバイルエンジニアについて​
cybozuinsideout
PRO
1
170
サイボウズの日英翻訳/ローカライズ担当について
cybozuinsideout
PRO
0
820

Other Decks in Technology

See All in Technology
LangChainとフルサーバーレスですばやくセキュアなRAGアプリをつくるための実践解説/LangChain_Book
yoshidashingo
8
2.9k
Making your Kubernetes-based log collection reliable & durable with Vector
palark
0
320
3つの⽴場で考える技術的負債への組織的アプローチ
sansantech
PRO
16
4.9k
從心開始的純軟之路
line_developers_tw
PRO
0
1k
pmconf 2023 プロダクトと事業を無限にスケールするための最強のロードマップの作り方 / The Greatest Roadmap for Unlimited Scaling your Business and Products
yamamuteki
14
7.5k
新卒エンジニアでも技術的負債に向き合いたい!
smasato
1
1.8k
231116 あつまれ入力デバイスの沼 Ryu.Cyberさん
comucal
PRO
0
170
APIテスト導入から2年。アジャイルな組織で見えてきたmabl活用の道
bengo4com
0
1.9k
分散型SNS最新状況
kojira
0
190
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
6
5.2k
【論文紹介】 A Survey on Hallucination in Large Language Models: Principles, Taxonomy, Challenges, and Open Questions
tomoaki25
4
160
フロントエンドリアーキテクチャリングと開発チームのスキルトランスファーにおける9ヶ月間の奮闘記
wakamsha
5
3.9k

Featured

See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
Building a Scalable Design System with Sketch
lauravandoore
453
32k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
52
19k
Rebuilding a faster, lazier Slack
samanthasiow
71
7.9k
VelocityConf: Rendering Performance Case Studies
addyosmani
319
23k
In The Pink: A Labor of Love
frogandcode
135
21k
Side Projects
sachag
450
39k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
9.8k
Bootstrapping a Software Product
garrettdimon
PRO
299
110k
Intergalactic Javascript Robots from Outer Space
tanoku
264
26k
Docker and Python
trallard
32
2.4k
How to name files
jennybc
59
87k

Transcript

  1. サイボウズのセキュリティの取り組み
    2022/7/23
    LOCAL Developer Day Online '22 /Security

    View Slide

  2. 自己紹介
    ▌松本 純
    旭川市出身、旭川高専 (システム)制御情報工学科
    1994/4/1 某ゲーム会社
     ゲームプログラム開発、システム・ネットワーク管理
     セキュリティ、不正対策(チート・海賊版)、インシデント対応
    2022/4/1 サイボウズ株式会社 セキュリティ室
    2
    (010430)

    View Slide

  3. サイボウズについて
    ▌会社の理念「チームワークあふれる社会を創る」
    チームワークを支えるソフトウェアサービスの開発・運用
    会社や組織のチームワークを育てるための活動
    3

    View Slide

  4. Cy-SIRT : セキュリティ・インシデント対応チーム
    ▌Cybozu の SIRT → Cy-SIRT
    ▌CSIRT
     Computer Security Incident Response Team
     コンピューターセキュリティインシデントに対応するチーム
    ▌Cybozu = cyber + bozu
     電脳 + 坊主(子供) → 電脳社会の未来を担う者達
    4

    View Slide

  5. Cy-PSIRT と Cy-SIRT
    5
    Cy-SIRT
    Cy-SIRT
    会社のセキュリティ
    セキュリティ室
    Cy-PSIRT
    製品のセキュリティ
    開発本部に属する

    View Slide

  6. Cy-PSIRT
    6
    https://blog.cybozu.io/entry/2021/10/08/170000

    View Slide

  7. 7
    https://cs.cybozu.co.jp/2022/007584.html

    View Slide

  8. 検出:脆弱性の発見方法
    ▌PSIRTメンバによる社内検証
    ソースコードや仕様書などを踏まえた検証
    ▌第三者による脆弱性診断
    外部セキュリティベンダに脆弱性診断を依頼
    ▌脆弱性報奨金制度(バグバウンティ)
    次ページで詳しく
    8

    View Slide

  9. 脆弱性報奨金制度(バグバウンティ)
    ▌善意のエンジニア(バグハンター)の多様な視点による検証
    ▌報告内容を知見として蓄積、製品の堅牢化に活用
    ▌2014年スタート
    ▌バグハンターコミュニティの活性化にも注力
    バグハンター合宿、ポイント・ランク制度見直し、報奨金倍増
    ▌https://cybozu.co.jp/products/bug-bounty/
    9

    View Slide

  10. Cy-SIRT(セキュリティ室)
    ▌会社組織としてのセキュリティ対策
    社員のセキュリティ教育・訓練、相談対応
    セキュリティ認証取得の事務局対応 (ISMS, ISMAP)
    外部からの情報収集、社内への発信
    対外窓口業務(Cy-SIRT運営)
    インシデント対応
    10

    View Slide

  11. ISMS (ISO/IEC 27001)
    ▌Information Security Management System
    情報セキュリティマネジメントシステム
    ▌情報資産のセキュリティを管理する枠組みを作り、適切に実施
    している組織を認証する仕組み(第三者によるお墨付)
    ステークホルダーの信頼感・安心感を高めたい
    ▌2011年に認証取得、その後毎年更新
    11

    View Slide

  12. ISMAP
    ▌Information system Security Management and Assessment Program
    政府情報システムのためのセキュリティ評価制度
    ▌政府のクラウド・バイ・デフォルト原則を背景に制定
    ▌政府機関は、原則として「ISMAPクラウドサービスリスト」に掲
    載されたサービスから調達を行う
    ▌2021年、ISMAPクラウドサービスリストに掲載
    国内SaaSベンダで一番乗り!
    12

    View Slide

  13. 外部セキュリティ団体との交流・情報交換
    ▌IPA, JPCERT/CC
    ▌NCA (日本シーサート協議会)
    ▌JNSA (日本ネットワークセキュリティ協会), ISOG-J
    ▌Software ISAC (CSAJ)
    ▌セキュリティ・キャンプ、SecHack365
    ▌イベント協賛、勉強会・セミナー参加など
    13

    View Slide

  14. なぜ外部と積極的に交流するのか?
    ▌セキュリティインシデントは自社だけで対応することが困難
    攻撃手法の多様化・高度化・複雑化
    自社だけで蓄積できるノウハウには限りがある
    インシデント対応には外部の様々な組織との連携が必要
    ▌各組織の経験や情報を、ルールに則りながら共有
    効率的・効果的なセキュリティ対策に活用、皆で底上げを!
    14

    View Slide

  15. セキュリティの仕事に必要なもの(私見)
    ▌事業やリスクへの理解
    ▌コミュニケーション力(社内・社外)
    ▌技術
    ネットワーク、セキュリティ、規格、インシデント事例調査
    ▌継続的な情報収集・学習
    コミュニティ活動大事、切磋琢磨できる仲間大事
    15

    View Slide

  16. サイボウズ セキュリティ室 Twitter
    ▌https://twitter.com/CybozuSecurity
    ▌少人数で頑張るCSIRTを応援したい
    セキュリティの仕事にチームワークを!
    ▌セキュリティ業務や今関心のあるトピックを発信
    ▌セキュリティに興味を持ってもらいたい、事業会社のセキュリティ
    チームの活動を知ってほしい
    16

    View Slide