Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
製品セキュリティのおしごと / Product Security
Search
Cybozu
PRO
September 04, 2021
Technology
0
380
製品セキュリティのおしごと / Product Security
Cybozu
PRO
September 04, 2021
Tweet
Share
More Decks by Cybozu
See All by Cybozu
PSIRTでAIテストを実施するまでの道のり
cybozuinsideout
PRO
0
91
無理なく続けるサイボウズの社内勉強会
cybozuinsideout
PRO
1
1.2k
分散システムにおける 無兆候データ破損の影響について
cybozuinsideout
PRO
1
63
タンパク質構造のシミュレーションソフトウェア試行錯誤
cybozuinsideout
PRO
1
50
読みやすいアセンブリ言語
cybozuinsideout
PRO
1
44
Wasmで拡張できる軽量マークアップ⾔語Brack(後編)
cybozuinsideout
PRO
1
39
Wasmで拡張できる軽量マークアップ⾔語Brack(前編)
cybozuinsideout
PRO
1
39
kintone開発組織のAWSエンジニアの紹介
cybozuinsideout
PRO
0
250
kintone開発組織のサービスプラットフォームチームの紹介
cybozuinsideout
PRO
0
140
Other Decks in Technology
See All in Technology
Node-RED × MCP 勉強会 vol.1
1ftseabass
PRO
0
180
SpringBoot x TestContainerで実現するポータブル自動結合テスト
demaecan
0
120
Amazon S3標準/ S3 Tables/S3 Express One Zoneを使ったログ分析
shigeruoda
5
590
KiCadでPad on Viaの基板作ってみた
iotengineer22
0
150
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
230
モバイル界のMCPを考える
naoto33
0
360
作曲家がボカロを使うようにPdMはAIを使え
itotaxi
0
390
5min GuardDuty Extended Threat Detection EKS
takakuni
0
180
あなたの声を届けよう! 女性エンジニア登壇の意義とアウトプット実践ガイド #wttjp / Call for Your Voice
kondoyuko
4
510
React開発にStorybookとCopilotを導入して、爆速でUIを編集・確認する方法
yu_kod
1
110
AI導入の理想と現実~コストと浸透〜
oprstchn
0
160
改めてAWS WAFを振り返る~業務で使うためのポイント~
masakiokuda
1
110
Featured
See All Featured
Building an army of robots
kneath
306
45k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
229
22k
A Modern Web Designer's Workflow
chriscoyier
694
190k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
[RailsConf 2023] Rails as a piece of cake
palkan
55
5.6k
RailsConf 2023
tenderlove
30
1.1k
Designing for humans not robots
tammielis
253
25k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.8k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Optimising Largest Contentful Paint
csswizardry
37
3.3k
Why Our Code Smells
bkeepers
PRO
337
57k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
5
230
Transcript
製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美(@naga_hito)
whoami ▌長友比登美(ながとも・ひとみ) サイボウズ株式会社 開発本部 Cy-PSIRT 大阪拠点所属 Iターン勢(九州→東京→大阪)
Twitter: @naga_hito
今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの? ▌バグバウンティのお話(時間があれば)
サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売 グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用 日本国内・サイボウズ全体・2021年7月末時点
セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し 主にPSIRTと呼ばれる組織の話
PSIRTとは① Product:製品・プロダクトの Security:セキュリティ Incident:インシデント・問題に Response:対応する Team:チーム
PSIRTとは② ▌もう少しかみ砕くと 「自分たちが作っている製品のセキュリティ」に注目して活動する 自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム 自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム
CSIRTとのちがい ▌対象が違う CSIRT:組織・情報システムの情報セキュリティ PSIRT:作ったもののセキュリティ
やっていること① ▌脆弱性の検出・評価 自社内での脆弱性の調査 製品そのものの脆弱性 製品で利用しているライブラリに含まれる、公表済みの脆弱性 第三者機関による脆弱性診断
バグバウンティの運営(詳しくは後程)
やっていること② ▌脆弱性情報の公開 第三者機関による脆弱性診断の結果公開 改修された脆弱性情報の公開 JPCERT/CC等、公的機関への届け出
やっていること③ ▌製品セキュリティに関する相談窓口 社内外からの問い合わせに対応 開発者に寄り添う、開発者をセキュリティの側面から支援する
楽しい・大変なところ① ▌製品をより良くする活動はおもしろい パズルを解いていくような感覚 新しい機能に不具合を見つけられたときの楽しさ 不具合がありそうなのにうまく引き出せないときはしんどい
楽しい・大変なところ② ▌人とのかかわりの多い仕事 様々なポジションの人と様々なことをやりとりする うまく伝えられないことも多々ある サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust &
Respectが大事なんだろうなと思います
楽しい・大変なところ③ ▌広範な知識を求められる 技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える
バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと
バグバウンティ②:サイボウズの場合 ▌2014年6月から開始 2021年ももちろん開催中 ▌1件当たり最大100万円お支払い(※2021年 時点) ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索
バグバウンティ③ ▌サイボウズ以外の組織でも実施している BugBounty.jp や Hackerone などで探すもよし Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう
まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある 開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください