Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivi...
Search
GMO Flatt Security
July 23, 2024
Technology
0
1.1k
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivity Con 2024
開発生産性Conference 2024で執行役員・豊田が株式会社カミナシ セキュリティエンジニアリング・西川様と登壇した際の資料です。
GMO Flatt Security
July 23, 2024
Tweet
Share
More Decks by GMO Flatt Security
See All by GMO Flatt Security
開発組織のための セキュアコーディング研修の始め方
flatt_security
3
2.7k
GMO Flatt SecurityにおけるKubernetesセキュリティ診断について
flatt_security
0
79
Flatt Security XSS Challenge 解答・解説
flatt_security
0
1.3k
GMO Flatt Security 会社紹介資料
flatt_security
0
6.4k
codeblue_2024_opentalks.pdf
flatt_security
0
100
Are you content with our current attacks on Content-Type?
flatt_security
2
320
XSS using dirty Content Type in cloud era
flatt_security
2
16k
「企画力」次第でテックブログのネタは尽きない / How to plan a tech blog
flatt_security
3
660
【2025卒向け】新卒採用・会社説明資料 / Culture Deck for 2025 newgrads
flatt_security
0
1.6k
Other Decks in Technology
See All in Technology
Share my, our lessons from the road to re:Invent
naospon
0
110
Iceberg Meetup Japan #1 : Iceberg and Databricks
databricksjapan
0
160
php-conference-nagoya-2025
fuwasegu
0
110
OpenID BizDay#17 KYC WG活動報告(法人) / 20250219-BizDay17-KYC-legalidentity
oidfj
0
350
NFV基盤のOpenStack更新 ~9世代バージョンアップへの挑戦~
vtj
0
230
なぜ私は自分が使わないサービスを作るのか? / Why would I create a service that I would not use?
aiandrox
0
880
EDRの検知の仕組みと検知回避について
chayakonanaika
2
560
コンピュータビジョンの社会実装について考えていたらゲームを作っていた話
takmin
1
480
抽象化をするということ - 具体と抽象の往復を身につける / Abstraction and concretization
soudai
27
14k
2024.02.19 W&B AIエージェントLT会 / AIエージェントが業務を代行するための計画と実行 / Algomatic 宮脇
smiyawaki0820
15
4.1k
データマネジメントのトレードオフに立ち向かう
ikkimiyazaki
6
1.2k
全文検索+セマンティックランカー+LLMの自然文検索サ−ビスで得られた知見
segavvy
2
130
Featured
See All Featured
Making Projects Easy
brettharned
116
6k
Making the Leap to Tech Lead
cromwellryan
133
9.1k
What's in a price? How to price your products and services
michaelherold
244
12k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.2k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.6k
Producing Creativity
orderedlist
PRO
344
39k
The Cost Of JavaScript in 2023
addyosmani
47
7.3k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
GraphQLとの向き合い方2022年版
quramy
44
13k
Bootstrapping a Software Product
garrettdimon
PRO
306
110k
Building an army of robots
kneath
303
45k
Transcript
開発生産性をむしろ向上させる セキュリティパートナーの作り方 株式会社Flatt Security 執行役員 豊田 恵二郎 株式会社カミナシ セキュリティエンジニアリング 西川
彰 2024/06/28
豊田 恵二郎 w (株)Flatt Security 執行役員CCV w 東京大学工学部航空宇宙工学科在籍時に共同創i w 96年生まれ、横浜出y
w 1人と2台で暮らしてま w ’88 マツダ FC3S / ’96 ビュイック リーガルワゴン 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
西川 彰 G (株)カミナシ セキュリティエンジニアリンU G (一社)鹿児島県サイバーセキュリティ協議会 代表理Y G AWS
Community Builder, CISS! G 84年生まれ、鎌倉出身(鹿児島県霧島市在住 G 妻と息子(9歳)と猫2匹と暮らしてます 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた サービス提供も可能
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
Mission エンジニアの背中を預かる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
モダンなプロダクト開発組織からの圧倒的支持 セキュリティ診断提供実績(一部) 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 皆さんの会社で、プロダクトセキュリティを 担うエンジニアは足りていますか?
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない 内製で何に対処すべきか、 どの部分を外部パートナーに委託するか といったリソース配置を適切に行わなければならない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 本日のイベントのタイトルを覚えている方〜?
None
開発生産性 vs セキュリティ 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要 = 本日の参加者層的には... エンジニアファーストな セキュリティサービス
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 この2つのポイントを抑えて実現する 「むしろ開発生産性を向上させるセキュリティ」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” のミッション プロダクトセキュリティの 「開発組織全体にセキュリティの意識や知識が根付 いており、 」を目指す
イネーブルメンx セキュリティエンジニア以外もセキュリ ティの実践に関して自律的な意思決定ができる状 態
自動でライトがつく 無灯火を知らせる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” の具体的取り組み t リスクマトリクスの作k t 社内セキュリティ競技会の開j t セキュリティニュースの配f
t 各チームとセキュリティに関する定w アドバイスや相y 他チームのインシデントの共a 総じて情報の横展開を意識
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかしここで身も蓋もない事を言うと... イネーブルメントに動ける西川さんのような です シニアセキュリティ人材がいなければ このような内製の取り組みは難しい
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 セキュリティエンジニア採用の難易度は格段に高く 多くの組織で人材が不足 外部パートナーを頼ることがプライオリティの高い選択肢に なってくるのではないでしょうか (カミナシさんですら外部の力を借りる)
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
1 2 3 https://blog.flatt.tech/entry/security_assessment_vs_bugbounty
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかし、外部パートナー選定こそ という観点が必要(内製は後からでも舵を取り直すことができるので) 「自社にフィットしたソリューションを選定し、開発生産性 を下げず、いやむしろ向上させるような取り組み」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニアファーストなセキュリティ外部委託
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニア・開発組織に最適化されたセキュリティサービスは少ない コーポレート部門 セキュリティサービスを提供 従来の多くの セキュリティ企業 エンドポイント保護、ネットワーク防御、 情報セキュリティ研修、アイデンティティ管理... プロダクト・ソフトウェア開発に携わる人
最適化されたセキュリティサービスを提供 ソフトウェア産業の拡大とともにニーズが 増えているにも関わらず、最適化された サービス提供が少ない
エンジニア ファーストな セキュリティ 外部委託 コミュニケー ションで 寄り添う 技術で 寄り添う 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 コミュニケー ションで 寄り添う HowだけでなくWhat・Whyをサポートする z わかりやすいリスク・対策の解i z 脆弱性再現方法のJavaScript
PoCを提w z 事後的な検査だけでなく、上流工程でのコンサル ティングを提供
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “診断実施”をゴールにしないコミュニケーション 取締役CTO 原さん:Flatt Securityさんは最初から「『カミナシ』をよりセ キュアにするにはどのようにすべきか」という点に重きを置いてコミュニケー ションを取ってくださったので、伴走力の強さを感じました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “課題解決”に向き合うオンボーディング 取締役CTO/CISO 田島さん:製品導入のレクチャーに留まらず、週次のミー ティング等を通じて運用課題の整理や運用体制構築に対するアドバイスをいた だけるという内容で非常に魅力的でした。プログラムの内容も画一的ではな く、一緒に課題解決に向けて動いてもらえそうな印象を受けました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 技術で 寄り添う 開発の要素技術・フェーズ・サイクル等 の制約をクリアする サーバーレスな環境に対して最適な診断手法を提案 してくれ
自動診断と手動診断の使い分けができ DevOpsサイクルに組み込んだ運用やシフトレフトが 実現可能
再掲 2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた
サービス提供も可能 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 認証・認可・決済など重要 なビジネスロジックの機能 も検査したい 手動診断でなければ 対処できない 大きなコードベースの変更 を控えているのに数百万円 かけて手動診断を実施する
手動診断は現実的ではない が高コスパ 自動診断
まとめ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ内製の心得 u セキュリティは力を持っているからこそ u 開発者は常に生産性をいかに上げられるかを考え て、そこに向き合っているはず。そのような気持ち にいかに寄り添うことができるか、 が求められる
生産性を奪 いかねなo 力を持っている からこその振る舞い
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ外部委託の心得 v 内製と同様、開発生産性を奪わないために であることが大y v そのために の2点を持つパートナーを見つけたい エンジニ
アファースト (1)コミュニケーションで寄り添う (2)技 術で寄り添う