Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
製品セキュリティのおしごと / Product Security
Search
Cybozu
PRO
September 04, 2021
Technology
0
380
製品セキュリティのおしごと / Product Security
Cybozu
PRO
September 04, 2021
Tweet
Share
More Decks by Cybozu
See All by Cybozu
AIツール開発ワークショップ(Dify)【サイボウズ新人研修2025】
cybozuinsideout
PRO
15
15k
モバイル【サイボウズ新人研修2025】
cybozuinsideout
PRO
3
3.2k
Git/GitHub を使う上で知っておくと嬉しいかも Tips【サイボウズ新人研修2025】
cybozuinsideout
PRO
9
8.5k
GitHub Copilot活用【サイボウズ新人研修2025】
cybozuinsideout
PRO
14
12k
ソフトウェアライセンス【サイボウズ新人研修2025】
cybozuinsideout
PRO
12
7.4k
エンジニアのためのアウトプット講座 〜知識をシェアするはじめの一歩〜【サイボウズ新人研修2025】
cybozuinsideout
PRO
6
4.1k
Docker入門【サイボウズ新人研修2025】
cybozuinsideout
PRO
12
9.8k
セキュリティ【サイボウズ新人研修2025】
cybozuinsideout
PRO
2
2.9k
TLS 1.3をざっと理解する【サイボウズ新人研修2025】
cybozuinsideout
PRO
2
1.7k
Other Decks in Technology
See All in Technology
P2P通信の標準化 WebRTCを知ろう
faithandbrave
6
2.3k
複数のGemini CLIが同時開発する狂気 - Jujutsuが実現するAIエージェント協調の新世界
gunta
12
3.2k
M365アカウント侵害時の初動対応
lhazy
7
4.5k
新規事業におけるAIリサーチの活用例
ranxxx
0
140
(HackFes)米国国防総省のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現
syoshie
5
660
AIコードアシスタントとiOS開発
jollyjoester
1
230
「現場で活躍するAIエージェント」を実現するチームと開発プロセス
tkikuchi1002
6
1k
手動からの解放!!Strands Agents で実現する総合テスト自動化
ideaws
2
290
OTel 公式ドキュメント翻訳 PJ から始めるコミュニティ活動/Community activities starting with the OTel official document translation project
msksgm
0
240
Microsoft Fabric ガバナンス設計の一歩目を考える
ryomaru0825
1
260
Step Functions First - サーバーレスアーキテクチャの新しいパラダイム
taikis
1
280
Talk to Someone At Delta Airlines™️ USA Contact Numbers
travelcarecenter
0
170
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
48
2.9k
Statistics for Hackers
jakevdp
799
220k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.8k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
530
Become a Pro
speakerdeck
PRO
29
5.4k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
Designing for humans not robots
tammielis
253
25k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Building an army of robots
kneath
306
45k
Site-Speed That Sticks
csswizardry
10
720
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Transcript
製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美(@naga_hito)
whoami ▌長友比登美(ながとも・ひとみ) サイボウズ株式会社 開発本部 Cy-PSIRT 大阪拠点所属 Iターン勢(九州→東京→大阪)
Twitter: @naga_hito
今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの? ▌バグバウンティのお話(時間があれば)
サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売 グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用 日本国内・サイボウズ全体・2021年7月末時点
セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し 主にPSIRTと呼ばれる組織の話
PSIRTとは① Product:製品・プロダクトの Security:セキュリティ Incident:インシデント・問題に Response:対応する Team:チーム
PSIRTとは② ▌もう少しかみ砕くと 「自分たちが作っている製品のセキュリティ」に注目して活動する 自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム 自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム
CSIRTとのちがい ▌対象が違う CSIRT:組織・情報システムの情報セキュリティ PSIRT:作ったもののセキュリティ
やっていること① ▌脆弱性の検出・評価 自社内での脆弱性の調査 製品そのものの脆弱性 製品で利用しているライブラリに含まれる、公表済みの脆弱性 第三者機関による脆弱性診断
バグバウンティの運営(詳しくは後程)
やっていること② ▌脆弱性情報の公開 第三者機関による脆弱性診断の結果公開 改修された脆弱性情報の公開 JPCERT/CC等、公的機関への届け出
やっていること③ ▌製品セキュリティに関する相談窓口 社内外からの問い合わせに対応 開発者に寄り添う、開発者をセキュリティの側面から支援する
楽しい・大変なところ① ▌製品をより良くする活動はおもしろい パズルを解いていくような感覚 新しい機能に不具合を見つけられたときの楽しさ 不具合がありそうなのにうまく引き出せないときはしんどい
楽しい・大変なところ② ▌人とのかかわりの多い仕事 様々なポジションの人と様々なことをやりとりする うまく伝えられないことも多々ある サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust &
Respectが大事なんだろうなと思います
楽しい・大変なところ③ ▌広範な知識を求められる 技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える
バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと
バグバウンティ②:サイボウズの場合 ▌2014年6月から開始 2021年ももちろん開催中 ▌1件当たり最大100万円お支払い(※2021年 時点) ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索
バグバウンティ③ ▌サイボウズ以外の組織でも実施している BugBounty.jp や Hackerone などで探すもよし Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう
まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある 開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください