Save 37% off PRO during our Black Friday Sale! »

製品セキュリティのおしごと / Product Security

A97eee01397705443a72a48ce29d3e19?s=47 Cybozu
September 04, 2021

製品セキュリティのおしごと / Product Security

A97eee01397705443a72a48ce29d3e19?s=128

Cybozu

September 04, 2021
Tweet

Transcript

  1. 製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美(@naga_hito)

  2. whoami ▌長友比登美(ながとも・ひとみ)  サイボウズ株式会社 開発本部 Cy-PSIRT  大阪拠点所属  Iターン勢(九州→東京→大阪)

     Twitter: @naga_hito
  3. 今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの? ▌バグバウンティのお話(時間があれば)

  4. サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売  グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用  日本国内・サイボウズ全体・2021年7月末時点

  5. セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し  主にPSIRTと呼ばれる組織の話

  6. PSIRTとは① Product:製品・プロダクトの Security:セキュリティ Incident:インシデント・問題に Response:対応する Team:チーム

  7. PSIRTとは② ▌もう少しかみ砕くと  「自分たちが作っている製品のセキュリティ」に注目して活動する  自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム  自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム

  8. CSIRTとのちがい ▌対象が違う  CSIRT:組織・情報システムの情報セキュリティ  PSIRT:作ったもののセキュリティ

  9. やっていること① ▌脆弱性の検出・評価  自社内での脆弱性の調査  製品そのものの脆弱性  製品で利用しているライブラリに含まれる、公表済みの脆弱性  第三者機関による脆弱性診断

     バグバウンティの運営(詳しくは後程)
  10. やっていること② ▌脆弱性情報の公開  第三者機関による脆弱性診断の結果公開  改修された脆弱性情報の公開  JPCERT/CC等、公的機関への届け出

  11. やっていること③ ▌製品セキュリティに関する相談窓口  社内外からの問い合わせに対応  開発者に寄り添う、開発者をセキュリティの側面から支援する

  12. 楽しい・大変なところ① ▌製品をより良くする活動はおもしろい  パズルを解いていくような感覚  新しい機能に不具合を見つけられたときの楽しさ  不具合がありそうなのにうまく引き出せないときはしんどい

  13. 楽しい・大変なところ② ▌人とのかかわりの多い仕事  様々なポジションの人と様々なことをやりとりする  うまく伝えられないことも多々ある  サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust &

    Respectが大事なんだろうなと思います
  14. 楽しい・大変なところ③ ▌広範な知識を求められる  技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される  いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える

  15. バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと

  16. バグバウンティ②:サイボウズの場合 ▌2014年6月から開始  2021年ももちろん開催中 ▌1件当たり最大100万円お支払い(※2021年 時点) ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索

  17. バグバウンティ③ ▌サイボウズ以外の組織でも実施している  BugBounty.jp や Hackerone などで探すもよし  Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう

  18. まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある  開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください