Ubieにおけるセキュリティ課題管理の自動化 / ubie-sec-issue-automation

Transcript

1. Ubieにおけるセキュリティ課題管理の自動化 Ubie株式会社 水谷正慶 (@m_mizutani) Product Security Casual Talks #1 自動化

2. 2 自己紹介 水谷 正慶 Ph.D. (Media and Governance)。大学時代は侵入 検知システムやマルウェア対策に関する研究に取 り組む。日本IBMにて基礎研究所・SOCに勤務

   （2011年~）クックパッドにてセキュリティエンジニア （2017年~）Ubie株式会社にてセキュリティエンジニ ア（2021年~）
 @m_mizutani

3. 3 @Ubie,Inc. 自分の症状を答えるだけで、 参考病名や近くの医療機関等 「受診の手がかり」が調べられる 医療現場で実際に使われ鍛えられたAIを、生活者が適切な 医療にかかる目安として開放しています (2020年春〜) 無料で 誰でも

   いつでも ほぼ全ての症状で＊ ＊99% (1.3万超)の症状に対応 Ubieのプロダクト (1/2)

4. 4 @Ubie,Inc. 問診業務効率化や認知向上など、 患者さんとのコミュニケーション設計を通じ、 診察の質向上を支援する医療機関向けサービス 病院・クリニックそれぞれのニーズに合わせた以下のような 機能を提供・開発しています ユビーAI問診 ユビーリンク ホームページAI相談窓口

   etc… Ubieのプロダクト (2/2)

5. 5 セキュリティ課題とはなんのことか • （今回は）プロダクトセキュリティに関連するリスクのこと ◦ アプリケーションとしての脆弱性 ◦ 実行環境における脅威 ◦ インフラ設定の不備

   • 様々なきっかけで新たに課題が生まれ、継続的に検出する必要がある ◦ 新しい脆弱性が発見される ◦ プロダクトが攻撃をうける ◦ インフラの設定を変える

6. 6 セキュリティ課題管理の自動化 検出 管理 解決 どこに課題（リスク）があ るかを探し出す 検出された課題をどのよ うに処理するのか判断し たり状態を記録する

   問題がない 状態に修正する かなり 自動化できる まあまあ 自動化できる 筋肉 (手動) ここをなるべく自動化する

7. 7 Ubieにおけるプロダクトセキュリティ関連自動化の現状 検出 管理 解決 プロダクト 実行環境の監視 ソースコード・ パッケージ脆弱性 クラウド環境の

   設定不備 SCC (Security Command Center) Snyk Shisho Cloud (アーリーアクセス版) 手動 AlertChain (内製SOARツール) 手動 手動

8. 8 Security Command Center + AlertChain プロダクト実行環境の監視 VMの監視 Pub/Sub SCC

   Cloud Run GitHub AlertChain（SOARツール）で通知先やア サインの制御、補足情報の取得など Issue上で対応状況の管理・記録 https://github.com/m-mizutani/alertchain

9. 9 Snykによるリポジトリの監視 ソースコード、パッケージ脆弱性 • ソースコードのリポジトリをスキャンし脆弱性の検出と対応状況管理 ◦ 修正しない場合にも理由を記録可能

10. 10 Shisho Cloud(アーリーアクセス版)によるGoogle CloudやGitHubの監視 クラウド環境の設定不備 • 不適切な可能性のある設定を検出し、修正方法の提案や対応状況管理ができる • Regoによるポリシーの記述やワークフロー制御も可能

11. 続きはパネルディスカッションで！ …and we are hiring!! https://recruit.ubie.life/jd_dev/security_engineer