Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivi...
Search
Flatt Security
July 23, 2024
Technology
0
900
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivity Con 2024
開発生産性Conference 2024で執行役員・豊田が株式会社カミナシ セキュリティエンジニアリング・西川様と登壇した際の資料です。
Flatt Security
July 23, 2024
Tweet
Share
More Decks by Flatt Security
See All by Flatt Security
Are you content with our current attacks on Content-Type?
flatt_security
2
180
XSS using dirty Content Type in cloud era
flatt_security
2
13k
「企画力」次第でテックブログのネタは尽きない / How to plan a tech blog
flatt_security
3
540
会社紹介資料 / Culture Deck
flatt_security
0
24k
【2025卒向け】新卒採用・会社説明資料 / Culture Deck for 2025 newgrads
flatt_security
0
1.4k
プロフェッショナルサービス事業部案内 / Professional Services Dept Deck
flatt_security
1
3.8k
スタートアップ・Flatt Securityが技術ブログとオウンドメディアの両方にフルコミットする理由 - はてなブログ DevBlog Meetup #1 LT登壇
flatt_security
0
3.5k
開発者のための GitHub Organization の安全な運用と 継続的なモニタリング
flatt_security
4
9.1k
Other Decks in Technology
See All in Technology
エンジニア向け会社紹介資料
caddi_eng
14
270k
Binary Hacks Rebooted 私選ハック集
nullpo_head
1
320
What a Good Platform Looks Like and How to Get There @ Large Financial Organization, Oct 2024
mfpais
PRO
0
120
Grafana エコシステムの活用事例 on ABEMA
tetsuya28
4
650
普通の Web エンジニアのための様相論理入門 #yapcjapan / YAPC Hakodate 2024
ytaka23
7
1.7k
令和最新版 Perlコーディングガイド
anatofuz
5
4.2k
入門 バックアップ
ryuichi1208
18
7.4k
Vespaを利用したテクいベクトル検索
szdr
3
230
Applied NLP with LLMs: Beyond Black-Box Monoliths
inesmontani
PRO
0
140
UE5の雑多なテク
ryuichikawano
0
460
Databricks Appのご紹介
databricksjapan
0
490
不要なリソースを自動で定期的に整理する方法 ~Sandboxアカウントのコストを削減しよう!~
amixedcolor
4
180
Featured
See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
228
52k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
504
140k
Visualization
eitanlees
143
15k
Practical Orchestrator
shlominoach
186
10k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Designing for humans not robots
tammielis
249
25k
Imperfection Machines: The Place of Print at Facebook
scottboms
264
13k
The Power of CSS Pseudo Elements
geoffreycrofte
71
5.3k
Designing with Data
zakiwarfel
98
5.1k
Building Adaptive Systems
keathley
38
2.2k
Designing Experiences People Love
moore
138
23k
Web Components: a chance to create the future
zenorocha
310
42k
Transcript
開発生産性をむしろ向上させる セキュリティパートナーの作り方 株式会社Flatt Security 執行役員 豊田 恵二郎 株式会社カミナシ セキュリティエンジニアリング 西川
彰 2024/06/28
豊田 恵二郎 w (株)Flatt Security 執行役員CCV w 東京大学工学部航空宇宙工学科在籍時に共同創i w 96年生まれ、横浜出y
w 1人と2台で暮らしてま w ’88 マツダ FC3S / ’96 ビュイック リーガルワゴン 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
西川 彰 G (株)カミナシ セキュリティエンジニアリンU G (一社)鹿児島県サイバーセキュリティ協議会 代表理Y G AWS
Community Builder, CISS! G 84年生まれ、鎌倉出身(鹿児島県霧島市在住 G 妻と息子(9歳)と猫2匹と暮らしてます 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた サービス提供も可能
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
Mission エンジニアの背中を預かる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
モダンなプロダクト開発組織からの圧倒的支持 セキュリティ診断提供実績(一部) 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 皆さんの会社で、プロダクトセキュリティを 担うエンジニアは足りていますか?
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない 内製で何に対処すべきか、 どの部分を外部パートナーに委託するか といったリソース配置を適切に行わなければならない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 本日のイベントのタイトルを覚えている方〜?
None
開発生産性 vs セキュリティ 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要 = 本日の参加者層的には... エンジニアファーストな セキュリティサービス
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 この2つのポイントを抑えて実現する 「むしろ開発生産性を向上させるセキュリティ」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” のミッション プロダクトセキュリティの 「開発組織全体にセキュリティの意識や知識が根付 いており、 」を目指す
イネーブルメンx セキュリティエンジニア以外もセキュリ ティの実践に関して自律的な意思決定ができる状 態
自動でライトがつく 無灯火を知らせる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” の具体的取り組み t リスクマトリクスの作k t 社内セキュリティ競技会の開j t セキュリティニュースの配f
t 各チームとセキュリティに関する定w アドバイスや相y 他チームのインシデントの共a 総じて情報の横展開を意識
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかしここで身も蓋もない事を言うと... イネーブルメントに動ける西川さんのような です シニアセキュリティ人材がいなければ このような内製の取り組みは難しい
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 セキュリティエンジニア採用の難易度は格段に高く 多くの組織で人材が不足 外部パートナーを頼ることがプライオリティの高い選択肢に なってくるのではないでしょうか (カミナシさんですら外部の力を借りる)
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
1 2 3 https://blog.flatt.tech/entry/security_assessment_vs_bugbounty
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかし、外部パートナー選定こそ という観点が必要(内製は後からでも舵を取り直すことができるので) 「自社にフィットしたソリューションを選定し、開発生産性 を下げず、いやむしろ向上させるような取り組み」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニアファーストなセキュリティ外部委託
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニア・開発組織に最適化されたセキュリティサービスは少ない コーポレート部門 セキュリティサービスを提供 従来の多くの セキュリティ企業 エンドポイント保護、ネットワーク防御、 情報セキュリティ研修、アイデンティティ管理... プロダクト・ソフトウェア開発に携わる人
最適化されたセキュリティサービスを提供 ソフトウェア産業の拡大とともにニーズが 増えているにも関わらず、最適化された サービス提供が少ない
エンジニア ファーストな セキュリティ 外部委託 コミュニケー ションで 寄り添う 技術で 寄り添う 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 コミュニケー ションで 寄り添う HowだけでなくWhat・Whyをサポートする z わかりやすいリスク・対策の解i z 脆弱性再現方法のJavaScript
PoCを提w z 事後的な検査だけでなく、上流工程でのコンサル ティングを提供
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “診断実施”をゴールにしないコミュニケーション 取締役CTO 原さん:Flatt Securityさんは最初から「『カミナシ』をよりセ キュアにするにはどのようにすべきか」という点に重きを置いてコミュニケー ションを取ってくださったので、伴走力の強さを感じました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “課題解決”に向き合うオンボーディング 取締役CTO/CISO 田島さん:製品導入のレクチャーに留まらず、週次のミー ティング等を通じて運用課題の整理や運用体制構築に対するアドバイスをいた だけるという内容で非常に魅力的でした。プログラムの内容も画一的ではな く、一緒に課題解決に向けて動いてもらえそうな印象を受けました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 技術で 寄り添う 開発の要素技術・フェーズ・サイクル等 の制約をクリアする サーバーレスな環境に対して最適な診断手法を提案 してくれ
自動診断と手動診断の使い分けができ DevOpsサイクルに組み込んだ運用やシフトレフトが 実現可能
再掲 2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた
サービス提供も可能 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 認証・認可・決済など重要 なビジネスロジックの機能 も検査したい 手動診断でなければ 対処できない 大きなコードベースの変更 を控えているのに数百万円 かけて手動診断を実施する
手動診断は現実的ではない が高コスパ 自動診断
まとめ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ内製の心得 u セキュリティは力を持っているからこそ u 開発者は常に生産性をいかに上げられるかを考え て、そこに向き合っているはず。そのような気持ち にいかに寄り添うことができるか、 が求められる
生産性を奪 いかねなo 力を持っている からこその振る舞い
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ外部委託の心得 v 内製と同様、開発生産性を奪わないために であることが大y v そのために の2点を持つパートナーを見つけたい エンジニ
アファースト (1)コミュニケーションで寄り添う (2)技 術で寄り添う