Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Ubieにおけるセキュリティ課題管理の自動化 / ubie-sec-issue-automation

Ubieにおけるセキュリティ課題管理の自動化 / ubie-sec-issue-automation

Masayoshi Mizutani

July 26, 2023
Tweet

More Decks by Masayoshi Mizutani

Other Decks in Technology

Transcript

  1. Ubieにおけるセキュリティ課題管理の自動化
    Ubie株式会社 水谷正慶 (@m_mizutani)
    Product Security Casual Talks #1 自動化

    View full-size slide

  2. 2
    自己紹介
    水谷 正慶
    Ph.D. (Media and Governance)。大学時代は侵入
    検知システムやマルウェア対策に関する研究に取
    り組む。日本IBMにて基礎研究所・SOCに勤務
    (2011年~)クックパッドにてセキュリティエンジニア
    (2017年~)Ubie株式会社にてセキュリティエンジニ
    ア(2021年~)

    @m_mizutani

    View full-size slide

  3. 3
    @Ubie,Inc.
    自分の症状を答えるだけで、
    参考病名や近くの医療機関等
    「受診の手がかり」が調べられる
    医療現場で実際に使われ鍛えられたAIを、生活者が適切な
    医療にかかる目安として開放しています (2020年春〜)
    無料で 誰でも
    いつでも ほぼ全ての症状で*
    *99% (1.3万超)の症状に対応
    Ubieのプロダクト (1/2)

    View full-size slide

  4. 4
    @Ubie,Inc.
    問診業務効率化や認知向上など、
    患者さんとのコミュニケーション設計を通じ、
    診察の質向上を支援する医療機関向けサービス
    病院・クリニックそれぞれのニーズに合わせた以下のような
    機能を提供・開発しています
    ユビーAI問診 ユビーリンク
    ホームページAI相談窓口 etc…
    Ubieのプロダクト (2/2)

    View full-size slide

  5. 5
    セキュリティ課題とはなんのことか
    ● (今回は)プロダクトセキュリティに関連するリスクのこと
    ○ アプリケーションとしての脆弱性
    ○ 実行環境における脅威
    ○ インフラ設定の不備
    ● 様々なきっかけで新たに課題が生まれ、継続的に検出する必要がある
    ○ 新しい脆弱性が発見される
    ○ プロダクトが攻撃をうける
    ○ インフラの設定を変える

    View full-size slide

  6. 6
    セキュリティ課題管理の自動化
    検出 管理 解決
    どこに課題(リスク)があ
    るかを探し出す
    検出された課題をどのよ
    うに処理するのか判断し
    たり状態を記録する
    問題がない
    状態に修正する
    かなり
    自動化できる
    まあまあ
    自動化できる
    筋肉 (手動)
    ここをなるべく自動化する

    View full-size slide

  7. 7
    Ubieにおけるプロダクトセキュリティ関連自動化の現状
    検出 管理 解決
    プロダクト
    実行環境の監視
    ソースコード・
    パッケージ脆弱性
    クラウド環境の
    設定不備
    SCC
    (Security Command
    Center)
    Snyk
    Shisho Cloud
    (アーリーアクセス版)
    手動
    AlertChain
    (内製SOARツール)
    手動
    手動

    View full-size slide

  8. 8
    Security Command Center + AlertChain
    プロダクト実行環境の監視
    VMの監視
    Pub/Sub
    SCC Cloud Run GitHub
    AlertChain(SOARツール)で通知先やア
    サインの制御、補足情報の取得など
    Issue上で対応状況の管理・記録
    https://github.com/m-mizutani/alertchain

    View full-size slide

  9. 9
    Snykによるリポジトリの監視
    ソースコード、パッケージ脆弱性
    ● ソースコードのリポジトリをスキャンし脆弱性の検出と対応状況管理
    ○ 修正しない場合にも理由を記録可能

    View full-size slide

  10. 10
    Shisho Cloud(アーリーアクセス版)によるGoogle CloudやGitHubの監視
    クラウド環境の設定不備
    ● 不適切な可能性のある設定を検出し、修正方法の提案や対応状況管理ができる
    ● Regoによるポリシーの記述やワークフロー制御も可能

    View full-size slide

  11. 続きはパネルディスカッションで!
    …and we are hiring!!
    https://recruit.ubie.life/jd_dev/security_engineer

    View full-size slide