Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サイボウズのセキュリティの取り組み

Avatar for Cybozu Cybozu
PRO
July 23, 2022
Technology
1
930

 サイボウズのセキュリティの取り組み

Avatar for Cybozu

Cybozu
PRO

July 23, 2022
Tweet

More Decks by Cybozu

See All by Cybozu
AIツール開発ワークショップ(Dify)【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
8
7.9k
モバイル【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
3
2.2k
Git/GitHub を使う上で知っておくと嬉しいかも Tips【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
5
3.9k
GitHub Copilot活用【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
6
7.2k
ソフトウェアライセンス【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
7
6k
エンジニアのためのアウトプット講座 〜知識をシェアするはじめの一歩〜【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
4
2k
Docker入門【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
3
3k
セキュリティ【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
1
1.9k
TLS 1.3をざっと理解する【サイボウズ新人研修2025】
Avatar for Cybozu cybozuinsideout
PRO
2
1k

Other Decks in Technology

See All in Technology
関数型プログラミングで 「脳がバグる」を乗り越える
Avatar for manabeai manabeai
1
190
整頓のジレンマとの戦い〜Tidy First?で振り返る事業とキャリアの歩み〜/Fighting the tidiness dilemma〜Business and Career Milestones Reflected on in Tidy First?〜
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
2
16k
NewSQLや分散データベースを支えるRaftの仕組み - 仕組みを理解して知る得意不得意
Avatar for hacomono Inc. hacomono
PRO
2
160
Geminiとv0による高速プロトタイピング
Avatar for Shinya Masadome(東京AI祭) shinya337
1
270
MobileActOsaka_250704.pdf
Avatar for AKAI Tadaaki akaitadaaki
0
130
AIの全社活用を推進するための安全なレールを敷いた話
Avatar for ShoheiMitani shoheimitani
2
520
オーティファイ会社紹介資料 / Autify Company Deck
Avatar for Autify autifyhq
10
130k
改めてAWS WAFを振り返る~業務で使うためのポイント~
Avatar for モブエンジニア masakiokuda
2
260
高速なプロダクト開発を実現、創業期から掲げるエンタープライズアーキテクチャ
Avatar for かわうそ kawauso
2
9.4k
ゼロからはじめる採用広報
Avatar for Yuta Horii yutadayo
3
950
united airlines ™®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for yasam flyunitedhelp
1
340
生成AI活用の組織格差を解消する 〜ビジネス職のCursor導入が開発効率に与えた好循環〜 / Closing the Organizational Gap in AI Adoption
Avatar for upamune / Yu SERIZAWA upamune
7
5.3k

Featured

See All Featured
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.7k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
36
2.8k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
86
4.7k
Making Projects Easy
Avatar for Brett Harned brettharned
116
6.3k
Fireside Chat
Avatar for paigeccino paigeccino
37
3.5k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.4k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
3.9k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
6
300
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
278
23k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k

Transcript

  1. サイボウズのセキュリティの取り組み 2022/7/23 LOCAL Developer Day Online '22 /Security

  2. 自己紹介 ▌松本 純 旭川市出身、旭川高専 (システム)制御情報工学科 1994/4/1 某ゲーム会社  ゲームプログラム開発、システム・ネットワーク管理 

    セキュリティ、不正対策(チート・海賊版)、インシデント対応 2022/4/1 サイボウズ株式会社 セキュリティ室 2 (010430)

  3. サイボウズについて ▌会社の理念「チームワークあふれる社会を創る」 チームワークを支えるソフトウェアサービスの開発・運用 会社や組織のチームワークを育てるための活動 3

  4. Cy-SIRT : セキュリティ・インシデント対応チーム ▌Cybozu の SIRT → Cy-SIRT ▌CSIRT 

    Computer Security Incident Response Team  コンピューターセキュリティインシデントに対応するチーム ▌Cybozu = cyber + bozu  電脳 + 坊主(子供) → 電脳社会の未来を担う者達 4

  5. Cy-PSIRT と Cy-SIRT 5 Cy-SIRT Cy-SIRT 会社のセキュリティ セキュリティ室 Cy-PSIRT 製品のセキュリティ

    開発本部に属する

  6. Cy-PSIRT 6 https://blog.cybozu.io/entry/2021/10/08/170000

  7. 7 https://cs.cybozu.co.jp/2022/007584.html

  8. 検出:脆弱性の発見方法 ▌PSIRTメンバによる社内検証 ソースコードや仕様書などを踏まえた検証 ▌第三者による脆弱性診断 外部セキュリティベンダに脆弱性診断を依頼 ▌脆弱性報奨金制度(バグバウンティ) 次ページで詳しく 8

  9. 脆弱性報奨金制度(バグバウンティ) ▌善意のエンジニア(バグハンター)の多様な視点による検証 ▌報告内容を知見として蓄積、製品の堅牢化に活用 ▌2014年スタート ▌バグハンターコミュニティの活性化にも注力 バグハンター合宿、ポイント・ランク制度見直し、報奨金倍増 ▌https://cybozu.co.jp/products/bug-bounty/ 9

  10. Cy-SIRT(セキュリティ室) ▌会社組織としてのセキュリティ対策 社員のセキュリティ教育・訓練、相談対応 セキュリティ認証取得の事務局対応 (ISMS, ISMAP) 外部からの情報収集、社内への発信 対外窓口業務(Cy-SIRT運営) インシデント対応 10

  11. ISMS (ISO/IEC 27001) ▌Information Security Management System 情報セキュリティマネジメントシステム ▌情報資産のセキュリティを管理する枠組みを作り、適切に実施 している組織を認証する仕組み(第三者によるお墨付)

    ステークホルダーの信頼感・安心感を高めたい ▌2011年に認証取得、その後毎年更新 11

  12. ISMAP ▌Information system Security Management and Assessment Program 政府情報システムのためのセキュリティ評価制度 ▌政府のクラウド・バイ・デフォルト原則を背景に制定

    ▌政府機関は、原則として「ISMAPクラウドサービスリスト」に掲 載されたサービスから調達を行う ▌2021年、ISMAPクラウドサービスリストに掲載 国内SaaSベンダで一番乗り! 12

  13. 外部セキュリティ団体との交流・情報交換 ▌IPA, JPCERT/CC ▌NCA (日本シーサート協議会) ▌JNSA (日本ネットワークセキュリティ協会), ISOG-J ▌Software ISAC

    (CSAJ) ▌セキュリティ・キャンプ、SecHack365 ▌イベント協賛、勉強会・セミナー参加など 13

  14. なぜ外部と積極的に交流するのか? ▌セキュリティインシデントは自社だけで対応することが困難 攻撃手法の多様化・高度化・複雑化 自社だけで蓄積できるノウハウには限りがある インシデント対応には外部の様々な組織との連携が必要 ▌各組織の経験や情報を、ルールに則りながら共有 効率的・効果的なセキュリティ対策に活用、皆で底上げを! 14

  15. セキュリティの仕事に必要なもの(私見) ▌事業やリスクへの理解 ▌コミュニケーション力(社内・社外) ▌技術 ネットワーク、セキュリティ、規格、インシデント事例調査 ▌継続的な情報収集・学習 コミュニティ活動大事、切磋琢磨できる仲間大事 15

  16. サイボウズ セキュリティ室 Twitter ▌https://twitter.com/CybozuSecurity ▌少人数で頑張るCSIRTを応援したい セキュリティの仕事にチームワークを! ▌セキュリティ業務や今関心のあるトピックを発信 ▌セキュリティに興味を持ってもらいたい、事業会社のセキュリティ チームの活動を知ってほしい 16