Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivi...
Search
Flatt Security
July 23, 2024
Technology
0
990
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivity Con 2024
開発生産性Conference 2024で執行役員・豊田が株式会社カミナシ セキュリティエンジニアリング・西川様と登壇した際の資料です。
Flatt Security
July 23, 2024
Tweet
Share
More Decks by Flatt Security
See All by Flatt Security
Flatt Security 会社紹介資料
flatt_security
0
1.5k
codeblue_2024_opentalks.pdf
flatt_security
0
27
Are you content with our current attacks on Content-Type?
flatt_security
2
250
XSS using dirty Content Type in cloud era
flatt_security
2
14k
「企画力」次第でテックブログのネタは尽きない / How to plan a tech blog
flatt_security
3
600
【2025卒向け】新卒採用・会社説明資料 / Culture Deck for 2025 newgrads
flatt_security
0
1.5k
プロフェッショナルサービス事業部案内 / Professional Services Dept Deck
flatt_security
1
4k
スタートアップ・Flatt Securityが技術ブログとオウンドメディアの両方にフルコミットする理由 - はてなブログ DevBlog Meetup #1 LT登壇
flatt_security
0
3.6k
開発者のための GitHub Organization の安全な運用と 継続的なモニタリング
flatt_security
4
9.3k
Other Decks in Technology
See All in Technology
re:Invent 2024 Innovation Talks(NET201)で語られた大切なこと
shotashiratori
0
270
生成AIのガバナンスの全体像と現実解
fnifni
1
160
kargoの魅力について伝える
magisystem0408
0
190
ゼロから創る横断SREチーム 挑戦と進化の軌跡
rvirus0817
2
220
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
140
オプトインカメラ:UWB測位を応用したオプトイン型のカメラ計測
matthewlujp
0
120
日本版とグローバル版のモバイルアプリ統合の開発の裏側と今後の展望
miichan
1
110
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
110
WernerVogelsのKeynoteで語られた6つの教訓とOps
hatahata021
2
290
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
ytaka23
3
360
5分でわかるDuckDB
chanyou0311
10
3.2k
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
160
Featured
See All Featured
Building Your Own Lightsaber
phodgson
103
6.1k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
1
160
Mobile First: as difficult as doing things right
swwweet
222
9k
Become a Pro
speakerdeck
PRO
26
5k
Building Applications with DynamoDB
mza
91
6.1k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Navigating Team Friction
lara
183
15k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Transcript
開発生産性をむしろ向上させる セキュリティパートナーの作り方 株式会社Flatt Security 執行役員 豊田 恵二郎 株式会社カミナシ セキュリティエンジニアリング 西川
彰 2024/06/28
豊田 恵二郎 w (株)Flatt Security 執行役員CCV w 東京大学工学部航空宇宙工学科在籍時に共同創i w 96年生まれ、横浜出y
w 1人と2台で暮らしてま w ’88 マツダ FC3S / ’96 ビュイック リーガルワゴン 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
西川 彰 G (株)カミナシ セキュリティエンジニアリンU G (一社)鹿児島県サイバーセキュリティ協議会 代表理Y G AWS
Community Builder, CISS! G 84年生まれ、鎌倉出身(鹿児島県霧島市在住 G 妻と息子(9歳)と猫2匹と暮らしてます 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた サービス提供も可能
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
Mission エンジニアの背中を預かる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
モダンなプロダクト開発組織からの圧倒的支持 セキュリティ診断提供実績(一部) 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 皆さんの会社で、プロダクトセキュリティを 担うエンジニアは足りていますか?
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない 内製で何に対処すべきか、 どの部分を外部パートナーに委託するか といったリソース配置を適切に行わなければならない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 本日のイベントのタイトルを覚えている方〜?
None
開発生産性 vs セキュリティ 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要 = 本日の参加者層的には... エンジニアファーストな セキュリティサービス
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 この2つのポイントを抑えて実現する 「むしろ開発生産性を向上させるセキュリティ」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” のミッション プロダクトセキュリティの 「開発組織全体にセキュリティの意識や知識が根付 いており、 」を目指す
イネーブルメンx セキュリティエンジニア以外もセキュリ ティの実践に関して自律的な意思決定ができる状 態
自動でライトがつく 無灯火を知らせる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” の具体的取り組み t リスクマトリクスの作k t 社内セキュリティ競技会の開j t セキュリティニュースの配f
t 各チームとセキュリティに関する定w アドバイスや相y 他チームのインシデントの共a 総じて情報の横展開を意識
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかしここで身も蓋もない事を言うと... イネーブルメントに動ける西川さんのような です シニアセキュリティ人材がいなければ このような内製の取り組みは難しい
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 セキュリティエンジニア採用の難易度は格段に高く 多くの組織で人材が不足 外部パートナーを頼ることがプライオリティの高い選択肢に なってくるのではないでしょうか (カミナシさんですら外部の力を借りる)
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
1 2 3 https://blog.flatt.tech/entry/security_assessment_vs_bugbounty
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかし、外部パートナー選定こそ という観点が必要(内製は後からでも舵を取り直すことができるので) 「自社にフィットしたソリューションを選定し、開発生産性 を下げず、いやむしろ向上させるような取り組み」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニアファーストなセキュリティ外部委託
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニア・開発組織に最適化されたセキュリティサービスは少ない コーポレート部門 セキュリティサービスを提供 従来の多くの セキュリティ企業 エンドポイント保護、ネットワーク防御、 情報セキュリティ研修、アイデンティティ管理... プロダクト・ソフトウェア開発に携わる人
最適化されたセキュリティサービスを提供 ソフトウェア産業の拡大とともにニーズが 増えているにも関わらず、最適化された サービス提供が少ない
エンジニア ファーストな セキュリティ 外部委託 コミュニケー ションで 寄り添う 技術で 寄り添う 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 コミュニケー ションで 寄り添う HowだけでなくWhat・Whyをサポートする z わかりやすいリスク・対策の解i z 脆弱性再現方法のJavaScript
PoCを提w z 事後的な検査だけでなく、上流工程でのコンサル ティングを提供
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “診断実施”をゴールにしないコミュニケーション 取締役CTO 原さん:Flatt Securityさんは最初から「『カミナシ』をよりセ キュアにするにはどのようにすべきか」という点に重きを置いてコミュニケー ションを取ってくださったので、伴走力の強さを感じました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “課題解決”に向き合うオンボーディング 取締役CTO/CISO 田島さん:製品導入のレクチャーに留まらず、週次のミー ティング等を通じて運用課題の整理や運用体制構築に対するアドバイスをいた だけるという内容で非常に魅力的でした。プログラムの内容も画一的ではな く、一緒に課題解決に向けて動いてもらえそうな印象を受けました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 技術で 寄り添う 開発の要素技術・フェーズ・サイクル等 の制約をクリアする サーバーレスな環境に対して最適な診断手法を提案 してくれ
自動診断と手動診断の使い分けができ DevOpsサイクルに組み込んだ運用やシフトレフトが 実現可能
再掲 2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた
サービス提供も可能 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 認証・認可・決済など重要 なビジネスロジックの機能 も検査したい 手動診断でなければ 対処できない 大きなコードベースの変更 を控えているのに数百万円 かけて手動診断を実施する
手動診断は現実的ではない が高コスパ 自動診断
まとめ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ内製の心得 u セキュリティは力を持っているからこそ u 開発者は常に生産性をいかに上げられるかを考え て、そこに向き合っているはず。そのような気持ち にいかに寄り添うことができるか、 が求められる
生産性を奪 いかねなo 力を持っている からこその振る舞い
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ外部委託の心得 v 内製と同様、開発生産性を奪わないために であることが大y v そのために の2点を持つパートナーを見つけたい エンジニ
アファースト (1)コミュニケーションで寄り添う (2)技 術で寄り添う