Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サイボウズのセキュリティの取り組み
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Cybozu
PRO
July 23, 2022
Technology
1.1k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
サイボウズのセキュリティの取り組み
Cybozu
PRO
July 23, 2022
More Decks by Cybozu
See All by Cybozu
新卒1年目QAが リリース基準の"なぜ"をたどってみた
cybozuinsideout
PRO
1
380
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
10
83k
kintone リサーチ副部/UXリサーチャー 業務紹介
cybozuinsideout
PRO
0
100
私たちが『JaSST協賛』から『外部コネクト』チームになった理由
cybozuinsideout
PRO
0
390
LLMでもいつものテスト技術〜意外と半分はこれまでのテストでした〜
cybozuinsideout
PRO
1
960
kintone開発のプラットフォームエンジニアの紹介
cybozuinsideout
PRO
0
1.4k
LLMアプリの品質保証
cybozuinsideout
PRO
1
690
技術広報チームに丸投げしない!「一緒につくる」スポンサー活動
cybozuinsideout
PRO
0
260
テクニカルライター (グループウェア) について
cybozuinsideout
PRO
0
230
Other Decks in Technology
See All in Technology
Zoom2Youtube.Claude
kawaguti
PRO
2
460
なぜ人は自分のプロジェクトを 「なんちゃってアジャイル」と 自嘲するのか
kozotaira
0
260
グローバルチームと挑むプロダクト開発
sansantech
PRO
1
160
金融の未来を考える / Thinking About the Future of Finance
ks91
PRO
0
180
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
0
140
Claude Code 珍プレー好プレー
shinyasaita
0
280
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
1k
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
3.4k
Kotlin 開発のツラミを爆破した話! / Explode the difficulty of Kotlin dev!
eller86
0
150
SRE Lounge Hiroshimaへの招待
grimoh
0
380
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
540
人を動かすのは時間ではなく、納得感 〜新任EMが入社3ヶ月、組織を2回変えた話〜
kakehashi
PRO
2
150
Featured
See All Featured
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
Docker and Python
trallard
47
3.9k
Making the Leap to Tech Lead
cromwellryan
135
10k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
250
Facilitating Awesome Meetings
lara
57
7k
KATA
mclloyd
PRO
35
15k
How to Ace a Technical Interview
jacobian
281
24k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4.1k
Navigating Team Friction
lara
192
16k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.7k
Transcript
サイボウズのセキュリティの取り組み 2022/7/23 LOCAL Developer Day Online '22 /Security
自己紹介 ▌松本 純 旭川市出身、旭川高専 (システム)制御情報工学科 1994/4/1 某ゲーム会社 ゲームプログラム開発、システム・ネットワーク管理
セキュリティ、不正対策(チート・海賊版)、インシデント対応 2022/4/1 サイボウズ株式会社 セキュリティ室 2 (010430)
サイボウズについて ▌会社の理念「チームワークあふれる社会を創る」 チームワークを支えるソフトウェアサービスの開発・運用 会社や組織のチームワークを育てるための活動 3
Cy-SIRT : セキュリティ・インシデント対応チーム ▌Cybozu の SIRT → Cy-SIRT ▌CSIRT
Computer Security Incident Response Team コンピューターセキュリティインシデントに対応するチーム ▌Cybozu = cyber + bozu 電脳 + 坊主(子供) → 電脳社会の未来を担う者達 4
Cy-PSIRT と Cy-SIRT 5 Cy-SIRT Cy-SIRT 会社のセキュリティ セキュリティ室 Cy-PSIRT 製品のセキュリティ
開発本部に属する
Cy-PSIRT 6 https://blog.cybozu.io/entry/2021/10/08/170000
7 https://cs.cybozu.co.jp/2022/007584.html
検出:脆弱性の発見方法 ▌PSIRTメンバによる社内検証 ソースコードや仕様書などを踏まえた検証 ▌第三者による脆弱性診断 外部セキュリティベンダに脆弱性診断を依頼 ▌脆弱性報奨金制度(バグバウンティ) 次ページで詳しく 8
脆弱性報奨金制度(バグバウンティ) ▌善意のエンジニア(バグハンター)の多様な視点による検証 ▌報告内容を知見として蓄積、製品の堅牢化に活用 ▌2014年スタート ▌バグハンターコミュニティの活性化にも注力 バグハンター合宿、ポイント・ランク制度見直し、報奨金倍増 ▌https://cybozu.co.jp/products/bug-bounty/ 9
Cy-SIRT(セキュリティ室) ▌会社組織としてのセキュリティ対策 社員のセキュリティ教育・訓練、相談対応 セキュリティ認証取得の事務局対応 (ISMS, ISMAP) 外部からの情報収集、社内への発信 対外窓口業務(Cy-SIRT運営) インシデント対応 10
ISMS (ISO/IEC 27001) ▌Information Security Management System 情報セキュリティマネジメントシステム ▌情報資産のセキュリティを管理する枠組みを作り、適切に実施 している組織を認証する仕組み(第三者によるお墨付)
ステークホルダーの信頼感・安心感を高めたい ▌2011年に認証取得、その後毎年更新 11
ISMAP ▌Information system Security Management and Assessment Program 政府情報システムのためのセキュリティ評価制度 ▌政府のクラウド・バイ・デフォルト原則を背景に制定
▌政府機関は、原則として「ISMAPクラウドサービスリスト」に掲 載されたサービスから調達を行う ▌2021年、ISMAPクラウドサービスリストに掲載 国内SaaSベンダで一番乗り! 12
外部セキュリティ団体との交流・情報交換 ▌IPA, JPCERT/CC ▌NCA (日本シーサート協議会) ▌JNSA (日本ネットワークセキュリティ協会), ISOG-J ▌Software ISAC
(CSAJ) ▌セキュリティ・キャンプ、SecHack365 ▌イベント協賛、勉強会・セミナー参加など 13
なぜ外部と積極的に交流するのか? ▌セキュリティインシデントは自社だけで対応することが困難 攻撃手法の多様化・高度化・複雑化 自社だけで蓄積できるノウハウには限りがある インシデント対応には外部の様々な組織との連携が必要 ▌各組織の経験や情報を、ルールに則りながら共有 効率的・効果的なセキュリティ対策に活用、皆で底上げを! 14
セキュリティの仕事に必要なもの(私見) ▌事業やリスクへの理解 ▌コミュニケーション力(社内・社外) ▌技術 ネットワーク、セキュリティ、規格、インシデント事例調査 ▌継続的な情報収集・学習 コミュニティ活動大事、切磋琢磨できる仲間大事 15
サイボウズ セキュリティ室 Twitter ▌https://twitter.com/CybozuSecurity ▌少人数で頑張るCSIRTを応援したい セキュリティの仕事にチームワークを! ▌セキュリティ業務や今関心のあるトピックを発信 ▌セキュリティに興味を持ってもらいたい、事業会社のセキュリティ チームの活動を知ってほしい 16