Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
製品セキュリティのおしごと / Product Security
Search
Cybozu
PRO
September 04, 2021
Technology
0
300
製品セキュリティのおしごと / Product Security
Cybozu
PRO
September 04, 2021
Tweet
Share
More Decks by Cybozu
See All by Cybozu
生産性向上チームの紹介
cybozuinsideout
PRO
1
870
サイボウズQAの紹介
cybozuinsideout
PRO
1
270
試験仕様書の英語化をやってみたら試験仕様書の本質が見えてきた
cybozuinsideout
PRO
0
270
販売管理オペレーターが開発チームの一員となった話
cybozuinsideout
PRO
0
260
主体的な活動で巨大な影響範囲のテストを乗りこなしていく話
cybozuinsideout
PRO
1
260
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
2
2.9k
OSSの脆弱性との向き合い⽅
cybozuinsideout
PRO
2
76
既存プロセスからの脱却と変化に適応するために必要なこと
cybozuinsideout
PRO
2
580
スプリント内で試験を完了させるには?アジャイル・スクラム開発に参加したQAエンジニアの悩みと対策
cybozuinsideout
PRO
1
550
Other Decks in Technology
See All in Technology
今年のRubyKaigiはProfiler Year🤘
osyoyu
0
170
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
790
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
coconala_engineer
0
340
TechFeed Experts Night#27 〜 フロントエンドフレームワーク最前線 (Svelte)
baseballyama
1
540
競技としてのKaggle、役に立つKaggle
yu4u
3
1.9k
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
240
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
370
エンジニア候補者向け資料2024.04.24.pdf
macloud
0
3.3k
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
120
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.4k
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
20分で完全に理解するGrafanaダッシュボード
hamadakoji
3
680
Featured
See All Featured
In The Pink: A Labor of Love
frogandcode
138
21k
The Illustrated Children's Guide to Kubernetes
chrisshort
31
46k
Building a Modern Day E-commerce SEO Strategy
aleyda
17
6.4k
Practical Orchestrator
shlominoach
182
9.7k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
Visualization
eitanlees
136
14k
Git: the NoSQL Database
bkeepers
PRO
422
63k
Unsuck your backbone
ammeep
663
57k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
The Invisible Customer
myddelton
114
12k
Testing 201, or: Great Expectations
jmmastey
28
6.4k
Product Roadmaps are Hard
iamctodd
44
9.7k
Transcript
製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美(@naga_hito)
whoami ▌長友比登美(ながとも・ひとみ) サイボウズ株式会社 開発本部 Cy-PSIRT 大阪拠点所属 Iターン勢(九州→東京→大阪)
Twitter: @naga_hito
今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの? ▌バグバウンティのお話(時間があれば)
サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売 グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用 日本国内・サイボウズ全体・2021年7月末時点
セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し 主にPSIRTと呼ばれる組織の話
PSIRTとは① Product:製品・プロダクトの Security:セキュリティ Incident:インシデント・問題に Response:対応する Team:チーム
PSIRTとは② ▌もう少しかみ砕くと 「自分たちが作っている製品のセキュリティ」に注目して活動する 自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム 自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム
CSIRTとのちがい ▌対象が違う CSIRT:組織・情報システムの情報セキュリティ PSIRT:作ったもののセキュリティ
やっていること① ▌脆弱性の検出・評価 自社内での脆弱性の調査 製品そのものの脆弱性 製品で利用しているライブラリに含まれる、公表済みの脆弱性 第三者機関による脆弱性診断
バグバウンティの運営(詳しくは後程)
やっていること② ▌脆弱性情報の公開 第三者機関による脆弱性診断の結果公開 改修された脆弱性情報の公開 JPCERT/CC等、公的機関への届け出
やっていること③ ▌製品セキュリティに関する相談窓口 社内外からの問い合わせに対応 開発者に寄り添う、開発者をセキュリティの側面から支援する
楽しい・大変なところ① ▌製品をより良くする活動はおもしろい パズルを解いていくような感覚 新しい機能に不具合を見つけられたときの楽しさ 不具合がありそうなのにうまく引き出せないときはしんどい
楽しい・大変なところ② ▌人とのかかわりの多い仕事 様々なポジションの人と様々なことをやりとりする うまく伝えられないことも多々ある サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust &
Respectが大事なんだろうなと思います
楽しい・大変なところ③ ▌広範な知識を求められる 技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える
バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと
バグバウンティ②:サイボウズの場合 ▌2014年6月から開始 2021年ももちろん開催中 ▌1件当たり最大100万円お支払い(※2021年 時点) ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索
バグバウンティ③ ▌サイボウズ以外の組織でも実施している BugBounty.jp や Hackerone などで探すもよし Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう
まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある 開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください