Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
製品セキュリティのおしごと / Product Security
Cybozu
PRO
September 04, 2021
Technology
0
230
製品セキュリティのおしごと / Product Security
Cybozu
PRO
September 04, 2021
Tweet
Share
More Decks by Cybozu
See All by Cybozu
テキストマイニングを使って 今年1年のレビュー内容をふりかえってみた話
cybozuinsideout
PRO
0
150
Waffle Festival「ITのすゝめ~文系からITキャリアへ」
cybozuinsideout
PRO
1
160
サイボウズのプロダクトデザイナーについて
cybozuinsideout
PRO
0
630
jsconf-sponsor-lt.pdf
cybozuinsideout
PRO
0
4k
Kubernetesストレージ可用性の監視ツール「pie」のご紹介
cybozuinsideout
PRO
0
49
kintone UXリサーチャーのお仕事紹介
cybozuinsideout
PRO
1
800
サイボウズのUXリサーチャーについて
cybozuinsideout
PRO
0
380
サイボウズの日英翻訳/ローカライズ担当について
cybozuinsideout
PRO
0
440
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
0
1.1k
Other Decks in Technology
See All in Technology
Cloudflare Workersで動くOG画像生成器
aiji42
1
440
LINE iOSエンジニアの日々 / LINE iOS Engineer Days
line_developers
PRO
1
120
アムロは成長しているのか AIから分析する
miyakemito
1
320
私見「UNIXの考え方」/20230124-kameda-unix-phylosophy
opelab
0
140
ERC3525 Semi-Fungible token
sbtechnight
0
330
Exploring MapStore Release 2022.02: improved 3DTiles support and more
simboss
PRO
0
160
JAWS-UG朝会_41_NakagawaAkihiro.pptx.pdf
anakagawa
2
610
デイリースクラムの”守破離”(日々をより楽しく有意義にするヒント)
m3hiro3
3
4.3k
Amazon Forecast を使って売上予測をしてみた
tomuro
0
290
インフラ技術基礎勉強会 開催概要
toru_kubota
0
110
PHPのimmutable arrayとは
hnw
1
130
Kubernetes_EKSに入門してみる
toru_kubota
0
220
Featured
See All Featured
Producing Creativity
orderedlist
PRO
335
37k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
109
16k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
214
12k
The Cult of Friendly URLs
andyhume
68
5.1k
The Invisible Customer
myddelton
113
12k
Music & Morning Musume
bryan
36
4.6k
Building Your Own Lightsaber
phodgson
96
4.9k
BBQ
matthewcrist
75
8.1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
6
830
GraphQLとの向き合い方2022年版
quramy
20
9.8k
Building Applications with DynamoDB
mza
85
4.9k
Pencils Down: Stop Designing & Start Developing
hursman
114
10k
Transcript
製品セキュリティの おしごと サイボウズ株式会社 開発本部 Cy-PSIRT 長友比登美(@naga_hito)
whoami ▌長友比登美(ながとも・ひとみ) サイボウズ株式会社 開発本部 Cy-PSIRT 大阪拠点所属 Iターン勢(九州→東京→大阪)
Twitter: @naga_hito
今日のお話 ▌製品セキュリティにかかわるお仕事ってどんなことをするの? ▌バグバウンティのお話(時間があれば)
サイボウズ株式会社について ▌「チームワークあふれる社会を創る」ために活動している会社 ▌チームワークを支えるためのアプリケーションを開発・販売 グループウェア、メール共有システム、業務アプリ構築サービス 等 ▌累計13万社の企業、1050万ユーザが利用 日本国内・サイボウズ全体・2021年7月末時点
セキュリティの仕事 ▌セキュリティを扱う分野は多種多様 ▌今回は「製品のセキュリティ」のお話し 主にPSIRTと呼ばれる組織の話
PSIRTとは① Product:製品・プロダクトの Security:セキュリティ Incident:インシデント・問題に Response:対応する Team:チーム
PSIRTとは② ▌もう少しかみ砕くと 「自分たちが作っている製品のセキュリティ」に注目して活動する 自分たちが作っている製品にセキュリティ上の問題が起きたとき に対処をするチーム 自分たちの作っている製品にセキュリティ上の問題が起こらない ように対策するチーム
CSIRTとのちがい ▌対象が違う CSIRT:組織・情報システムの情報セキュリティ PSIRT:作ったもののセキュリティ
やっていること① ▌脆弱性の検出・評価 自社内での脆弱性の調査 製品そのものの脆弱性 製品で利用しているライブラリに含まれる、公表済みの脆弱性 第三者機関による脆弱性診断
バグバウンティの運営(詳しくは後程)
やっていること② ▌脆弱性情報の公開 第三者機関による脆弱性診断の結果公開 改修された脆弱性情報の公開 JPCERT/CC等、公的機関への届け出
やっていること③ ▌製品セキュリティに関する相談窓口 社内外からの問い合わせに対応 開発者に寄り添う、開発者をセキュリティの側面から支援する
楽しい・大変なところ① ▌製品をより良くする活動はおもしろい パズルを解いていくような感覚 新しい機能に不具合を見つけられたときの楽しさ 不具合がありそうなのにうまく引き出せないときはしんどい
楽しい・大変なところ② ▌人とのかかわりの多い仕事 様々なポジションの人と様々なことをやりとりする うまく伝えられないことも多々ある サービスを作るチーム・動かすチームがあってこそのPSIRT、 他チームへのTrust &
Respectが大事なんだろうなと思います
楽しい・大変なところ③ ▌広範な知識を求められる 技術の知識はもちろん、法律、コミュニケーション、開発手法など、 さまざまな知識が要求される いくら勉強しても足りない、 とはいえやることが尽きないので楽しいとも思える
バグバウンティ① ▌日本語では「脆弱性報奨金制度」と呼ばれることが多い ▌許可されているサービスに対して、ルールに沿って脆弱性を見つけ、 未知の脆弱性だった場合に対価として報奨金をお支払いする制度 のこと
バグバウンティ②:サイボウズの場合 ▌2014年6月から開始 2021年ももちろん開催中 ▌1件当たり最大100万円お支払い(※2021年 時点) ▌安全に検証するためのテスト環境をご用意 ▌「サイボウズ 報奨金制度」で検索
バグバウンティ③ ▌サイボウズ以外の組織でも実施している BugBounty.jp や Hackerone などで探すもよし Googleなどで検索して探すもよし ▌ルールを守ってたのしく探してみましょう
まとめ ▌PSIRTは製品セキュリティを中心に扱うチーム ▌PSIRTには色々な機能がある 開発者をセキュリティの視点で支援する ▌バグバウンティ、興味があったらぜひ挑戦してみてください