Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
製品セキュリティのおしごと / Product Security
Search
Cybozu
PRO
September 04, 2021
Technology
0
320
製品セキュリティのおしごと / Product Security
Cybozu
PRO
September 04, 2021
Tweet
Share
More Decks by Cybozu
See All by Cybozu
Recruitment Pitch in New Business Division
cybozuinsideout
PRO
0
12
サイボウズ Office/メールワイズチームの改善の取り組み「困りごと共有会」
cybozuinsideout
PRO
1
16
サイボウズのOSPO
cybozuinsideout
PRO
1
91
非エンジニアの私が試行錯誤の末見出したスクラムマスターの道
cybozuinsideout
PRO
2
130
Kubernetes でもJava アプリでTLS 接続を終端したい
cybozuinsideout
PRO
2
150
Google I/O - 2024 What’s new in flutter
cybozuinsideout
PRO
2
260
Waffle Festival2024(斉藤裕希)
cybozuinsideout
PRO
3
560
主体的な活動で巨大な影響範囲のテストを乗りこなしていく話
cybozuinsideout
PRO
2
360
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
9
40k
Other Decks in Technology
See All in Technology
Datadog Cloud SIEMを使ってAWS環境の脅威を可視化した話/lifeistech-datadog-cloud-siem
gidajun
0
480
E2Eテスト自動化プラットフォームにおけるAIの活用
shift_evolve
0
190
Azure OpenAI Service Dev Day / LLMでできる!使える!生成AIエージェント
masahiro_nishimi
3
780
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
280
AOAI Dev Day LLMシステム開発 Tips集
hirosatogamo
15
3.7k
GoとアクターモデルでES+CQRSを実践! / proto_actor_es_cqrs
ytake
1
160
MySQLのロックの種類とその競合
yoku0825
6
1.6k
Git 研修 Advanced【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
200
ペパボのオブザーバビリティ研修2024 説明資料
kesompochy
0
1.1k
データベース研修 DB基礎【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
210
How to Think Like a Performance Engineer
csswizardry
4
590
「我々はどこに向かっているのか」を問い続けるための仕組みづくり / Establishing a System for Continuous Inquiry about where we are
daitasu
0
170
Featured
See All Featured
How GitHub (no longer) Works
holman
305
140k
The Brand Is Dead. Long Live the Brand.
mthomps
52
36k
Practical Orchestrator
shlominoach
185
10k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
20
7.2k
How to name files
jennybc
67
96k
4 Signs Your Business is Dying
shpigford
178
21k
Bootstrapping a Software Product
garrettdimon
PRO
304
110k
Docker and Python
trallard
37
2.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
277
13k
The Pragmatic Product Professional
lauravandoore
29
6.1k
Web development in the modern age
philhawksworth
203
10k
Thoughts on Productivity
jonyablonski
64
4.1k
Transcript
製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美(@naga_hito)
whoami ▌長友比登美(ながとも・ひとみ) サイボウズ株式会社 開発本部 Cy-PSIRT 大阪拠点所属 Iターン勢(九州→東京→大阪)
Twitter: @naga_hito
今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの? ▌バグバウンティのお話(時間があれば)
サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売 グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用 日本国内・サイボウズ全体・2021年7月末時点
セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し 主にPSIRTと呼ばれる組織の話
PSIRTとは① Product:製品・プロダクトの Security:セキュリティ Incident:インシデント・問題に Response:対応する Team:チーム
PSIRTとは② ▌もう少しかみ砕くと 「自分たちが作っている製品のセキュリティ」に注目して活動する 自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム 自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム
CSIRTとのちがい ▌対象が違う CSIRT:組織・情報システムの情報セキュリティ PSIRT:作ったもののセキュリティ
やっていること① ▌脆弱性の検出・評価 自社内での脆弱性の調査 製品そのものの脆弱性 製品で利用しているライブラリに含まれる、公表済みの脆弱性 第三者機関による脆弱性診断
バグバウンティの運営(詳しくは後程)
やっていること② ▌脆弱性情報の公開 第三者機関による脆弱性診断の結果公開 改修された脆弱性情報の公開 JPCERT/CC等、公的機関への届け出
やっていること③ ▌製品セキュリティに関する相談窓口 社内外からの問い合わせに対応 開発者に寄り添う、開発者をセキュリティの側面から支援する
楽しい・大変なところ① ▌製品をより良くする活動はおもしろい パズルを解いていくような感覚 新しい機能に不具合を見つけられたときの楽しさ 不具合がありそうなのにうまく引き出せないときはしんどい
楽しい・大変なところ② ▌人とのかかわりの多い仕事 様々なポジションの人と様々なことをやりとりする うまく伝えられないことも多々ある サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust &
Respectが大事なんだろうなと思います
楽しい・大変なところ③ ▌広範な知識を求められる 技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える
バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと
バグバウンティ②:サイボウズの場合 ▌2014年6月から開始 2021年ももちろん開催中 ▌1件当たり最大100万円お支払い(※2021年 時点) ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索
バグバウンティ③ ▌サイボウズ以外の組織でも実施している BugBounty.jp や Hackerone などで探すもよし Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう
まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある 開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください