Upgrade to Pro — share decks privately, control downloads, hide ads and more …

製品セキュリティのおしごと / Product Security

A97eee01397705443a72a48ce29d3e19?s=47 Cybozu
PRO
September 04, 2021
Technology
0
180

製品セキュリティのおしごと / Product Security

A97eee01397705443a72a48ce29d3e19?s=128

Cybozu
PRO

September 04, 2021
Tweet

More Decks by Cybozu

See All by Cybozu
モブに早く慣れたい人のためのガイド / A Guide to Getting Started Quickly with Mob Programming
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
2
1.9k
サイボウズの アジャイル・クオリティ / Agile Quality at Cybozu
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
4
2.5k
セキュリティ 開運研修2022 / security 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
3
4k
ソフトウェアライセンス 2022 / Software License 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
1
1.2k
Garoon QA 紹介資料 / Garoon QA
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
1
56
モバイルアプリ開発/Mobile App Development
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
2
4.7k
GaroonUX リサーチャーお仕事紹介 / GaroonUX Researcher Job Introduction
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
0
170
Garoon 開発チーム / Garoon development team
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
0
730
OSS分散ストレージの調査例 - 未知のエラーメッセージが出たときの対処 -/cnsm2-cybozu-oss-storage-survey-example
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
0
100

Other Decks in Technology

See All in Technology
令和4年資金決済法等改正を踏まえたステーブルコインに関する規制の動向
525442fc70ca92f82ae503f826956137?s=48 finengine
0
520
What's new in Vision
53e2d354b3299d64a54af680865516d5?s=48 satotakeshi
0
220
約6年間運用したシステムをKubernetesに完全移行するまで/Kubernetes Novice Tokyo
46839cf590a549efe13547c17a6b2fde?s=48 isaoshimizu
6
970
MRTK3 - DataBinding and Theming 入門
Fccbd625997f63e7b251d9725cb905a5?s=48 futo23
0
210
Meet passkeys
53e2d354b3299d64a54af680865516d5?s=48 satotakeshi
1
130
データ分析で切り拓け! エンジニアとしてのデータ分析職キャリア戦略
43ba5a2227c580ce2290544d81c6261c?s=48 ksnt
0
190
The application of formal methods in Kafka reliability engineering
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
1
210
【toranoana.deno#7】Denoからwasmを呼び出す基礎
6ab47a68ee78e84c34731ce12333deff?s=48 toranoana
0
140
How to start with DDD when you have a Monolith
Ac38eb7117f177d961362cfe1387341b?s=48 javujavichi
0
370
Twitter Botを作ってカスタマイズとトラブルシュートをした話
Dc20c893cac0daddd607dfc9a5855d27?s=48 amarelo_n24
1
100
Empath Company Deck
8857de8bd0e81ab30358ccad2a1983c4?s=48 empathpr
0
180
oakのミドルウェアを書くときの技のらしきもの
6ab47a68ee78e84c34731ce12333deff?s=48 toranoana
0
140

Featured

See All Featured
Statistics for Hackers
56c4053438af8e8b90d6f53cbb7573be?s=48 jakevdp
781
210k
A Philosophy of Restraint
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
192
15k
Done Done
282d599b414022eba5096510f675b6e2?s=48 chrislema
174
14k
Documentation Writing (for coders)
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
48
2.6k
Distributed Sagas: A Protocol for Coordinating Microservices
9128d500301ae51524e887bb680f471d?s=48 caitiem20
315
19k
It's Worth the Effort
Ba530e786553390f3fb271848485681c?s=48 3n
172
25k
Fireside Chat
864a009ac73600c7c02e1f26629dd989?s=48 paigeccino
12
1.3k
Put a Button on it: Removing Barriers to Going Fast.
Bfd6b681ec6e8c9bef82ff0521c364f7?s=48 kastner
56
2.3k
Testing 201, or: Great Expectations
A9704266587836f7e784235e5073b93e?s=48 jmmastey
21
5.4k
Reflections from 52 weeks, 52 projects
E43f8dfd01057f8304f5f8fb9a294d7d?s=48 jeffersonlam
337
17k
Side Projects
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
450
37k
Designing Dashboards & Data Visualisations in Web Apps
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
224
49k

Transcript

  1. 製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美(@naga_hito)

  2. whoami ▌長友比登美(ながとも・ひとみ)  サイボウズ株式会社 開発本部 Cy-PSIRT  大阪拠点所属  Iターン勢(九州→東京→大阪)

     Twitter: @naga_hito

  3. 今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの? ▌バグバウンティのお話(時間があれば)

  4. サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売  グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用  日本国内・サイボウズ全体・2021年7月末時点

  5. セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し  主にPSIRTと呼ばれる組織の話

  6. PSIRTとは① Product:製品・プロダクトの Security:セキュリティ Incident:インシデント・問題に Response:対応する Team:チーム

  7. PSIRTとは② ▌もう少しかみ砕くと  「自分たちが作っている製品のセキュリティ」に注目して活動する  自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム  自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム

  8. CSIRTとのちがい ▌対象が違う  CSIRT:組織・情報システムの情報セキュリティ  PSIRT:作ったもののセキュリティ

  9. やっていること① ▌脆弱性の検出・評価  自社内での脆弱性の調査  製品そのものの脆弱性  製品で利用しているライブラリに含まれる、公表済みの脆弱性  第三者機関による脆弱性診断

     バグバウンティの運営(詳しくは後程)

  10. やっていること② ▌脆弱性情報の公開  第三者機関による脆弱性診断の結果公開  改修された脆弱性情報の公開  JPCERT/CC等、公的機関への届け出

  11. やっていること③ ▌製品セキュリティに関する相談窓口  社内外からの問い合わせに対応  開発者に寄り添う、開発者をセキュリティの側面から支援する

  12. 楽しい・大変なところ① ▌製品をより良くする活動はおもしろい  パズルを解いていくような感覚  新しい機能に不具合を見つけられたときの楽しさ  不具合がありそうなのにうまく引き出せないときはしんどい

  13. 楽しい・大変なところ② ▌人とのかかわりの多い仕事  様々なポジションの人と様々なことをやりとりする  うまく伝えられないことも多々ある  サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust &

    Respectが大事なんだろうなと思います

  14. 楽しい・大変なところ③ ▌広範な知識を求められる  技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される  いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える

  15. バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと

  16. バグバウンティ②:サイボウズの場合 ▌2014年6月から開始  2021年ももちろん開催中 ▌1件当たり最大100万円お支払い(※2021年 時点) ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索

  17. バグバウンティ③ ▌サイボウズ以外の組織でも実施している  BugBounty.jp や Hackerone などで探すもよし  Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう

  18. まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある  開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください