製品セキュリティのおしごと / Product Security

Transcript

1. 製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美（@naga_hito）

2. whoami ▌長友比登美（ながとも・ひとみ）  サイボウズ株式会社 開発本部 Cy-PSIRT  大阪拠点所属  Iターン勢（九州→東京→大阪）

    Twitter: @naga_hito

3. 今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの？ ▌バグバウンティのお話（時間があれば）

4. サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売  グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用  日本国内・サイボウズ全体・2021年7月末時点

5. セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し  主にPSIRTと呼ばれる組織の話

6. PSIRTとは① Product：製品・プロダクトの Security：セキュリティ Incident：インシデント・問題に Response：対応する Team：チーム

7. PSIRTとは② ▌もう少しかみ砕くと  「自分たちが作っている製品のセキュリティ」に注目して活動する  自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム  自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム

8. CSIRTとのちがい ▌対象が違う  CSIRT：組織・情報システムの情報セキュリティ  PSIRT：作ったもののセキュリティ

9. やっていること① ▌脆弱性の検出・評価  自社内での脆弱性の調査  製品そのものの脆弱性  製品で利用しているライブラリに含まれる、公表済みの脆弱性  第三者機関による脆弱性診断

    バグバウンティの運営（詳しくは後程）

10. やっていること② ▌脆弱性情報の公開  第三者機関による脆弱性診断の結果公開  改修された脆弱性情報の公開  JPCERT/CC等、公的機関への届け出

11. やっていること③ ▌製品セキュリティに関する相談窓口  社内外からの問い合わせに対応  開発者に寄り添う、開発者をセキュリティの側面から支援する

12. 楽しい・大変なところ① ▌製品をより良くする活動はおもしろい  パズルを解いていくような感覚  新しい機能に不具合を見つけられたときの楽しさ  不具合がありそうなのにうまく引き出せないときはしんどい

13. 楽しい・大変なところ② ▌人とのかかわりの多い仕事  様々なポジションの人と様々なことをやりとりする  うまく伝えられないことも多々ある  サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust ＆

    Respectが大事なんだろうなと思います

14. 楽しい・大変なところ③ ▌広範な知識を求められる  技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される  いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える

15. バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと

16. バグバウンティ②：サイボウズの場合 ▌2014年6月から開始  2021年ももちろん開催中 ▌1件当たり最大100万円お支払い（※2021年 時点） ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索

17. バグバウンティ③ ▌サイボウズ以外の組織でも実施している  BugBounty.jp や Hackerone などで探すもよし  Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう

18. まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある  開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください