Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
製品セキュリティのおしごと / Product Security
Search
Cybozu
PRO
September 04, 2021
Technology
0
340
製品セキュリティのおしごと / Product Security
Cybozu
PRO
September 04, 2021
Tweet
Share
More Decks by Cybozu
See All by Cybozu
2024/11/25 ReDesigner Online Meetup 会社紹介
cybozuinsideout
PRO
0
200
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
9
45k
テクニカルライティング
cybozuinsideout
PRO
4
340
サイボウズのアジャイルクオリティ2024
cybozuinsideout
PRO
3
310
モブに早く慣れたい人のためのガイド2024
cybozuinsideout
PRO
3
410
モバイル
cybozuinsideout
PRO
3
210
ソフトウェアライセンス
cybozuinsideout
PRO
4
190
ソフトウェアテスト
cybozuinsideout
PRO
3
290
自動テスト
cybozuinsideout
PRO
3
300
Other Decks in Technology
See All in Technology
お悩みハンドブック紹介資料
grafferhandbook
0
450
そろそろOn-Callの通知音について考えてみよう (PagerDuty編)
tk3fftk
1
310
Autonomous Database サービス・アップデート (FY25)
oracle4engineer
PRO
0
220
システムリプレイスプロジェクト発足から7年、改めてコスト最適化に向き合う / replace and cost optimization
takumi
1
360
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
320
ONNX推論クレートの比較と実装奮闘記
emergent
0
280
Kubernetesを知る
logica0419
17
4.6k
LY Accessibility Guidelines @fukuoka_a11yconf_前夜祭
lycorptech_jp
PRO
1
140
Advancing the 3D Geospatial Ecosystem in Japan via Global Collaborations
osgeojp
0
130
深層学習のリペア技術の最新動向と実際 / DNN Repair Techniques for AI Performance Alignment for Safety Requirements
ishikawafyu
0
230
EthernetベースのGPUクラスタ導入による学びと展望
lycorptech_jp
PRO
0
510
ドメインロジックで考えるテスタビリティ
leveragestech
1
270
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
51
7.2k
How to Ace a Technical Interview
jacobian
276
23k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
The Pragmatic Product Professional
lauravandoore
32
6.3k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
27
2.1k
The World Runs on Bad Software
bkeepers
PRO
65
11k
For a Future-Friendly Web
brad_frost
175
9.4k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Imperfection Machines: The Place of Print at Facebook
scottboms
266
13k
What's in a price? How to price your products and services
michaelherold
243
12k
Teambox: Starting and Learning
jrom
133
8.8k
Transcript
製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美(@naga_hito)
whoami ▌長友比登美(ながとも・ひとみ) サイボウズ株式会社 開発本部 Cy-PSIRT 大阪拠点所属 Iターン勢(九州→東京→大阪)
Twitter: @naga_hito
今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの? ▌バグバウンティのお話(時間があれば)
サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売 グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用 日本国内・サイボウズ全体・2021年7月末時点
セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し 主にPSIRTと呼ばれる組織の話
PSIRTとは① Product:製品・プロダクトの Security:セキュリティ Incident:インシデント・問題に Response:対応する Team:チーム
PSIRTとは② ▌もう少しかみ砕くと 「自分たちが作っている製品のセキュリティ」に注目して活動する 自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム 自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム
CSIRTとのちがい ▌対象が違う CSIRT:組織・情報システムの情報セキュリティ PSIRT:作ったもののセキュリティ
やっていること① ▌脆弱性の検出・評価 自社内での脆弱性の調査 製品そのものの脆弱性 製品で利用しているライブラリに含まれる、公表済みの脆弱性 第三者機関による脆弱性診断
バグバウンティの運営(詳しくは後程)
やっていること② ▌脆弱性情報の公開 第三者機関による脆弱性診断の結果公開 改修された脆弱性情報の公開 JPCERT/CC等、公的機関への届け出
やっていること③ ▌製品セキュリティに関する相談窓口 社内外からの問い合わせに対応 開発者に寄り添う、開発者をセキュリティの側面から支援する
楽しい・大変なところ① ▌製品をより良くする活動はおもしろい パズルを解いていくような感覚 新しい機能に不具合を見つけられたときの楽しさ 不具合がありそうなのにうまく引き出せないときはしんどい
楽しい・大変なところ② ▌人とのかかわりの多い仕事 様々なポジションの人と様々なことをやりとりする うまく伝えられないことも多々ある サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust &
Respectが大事なんだろうなと思います
楽しい・大変なところ③ ▌広範な知識を求められる 技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える
バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと
バグバウンティ②:サイボウズの場合 ▌2014年6月から開始 2021年ももちろん開催中 ▌1件当たり最大100万円お支払い(※2021年 時点) ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索
バグバウンティ③ ▌サイボウズ以外の組織でも実施している BugBounty.jp や Hackerone などで探すもよし Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう
まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある 開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください