Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Product Security Summit 2024 Yappli

Avatar for Masahito Mochizuki Masahito Mochizuki
February 21, 2024
Technology
0
430

Product Security Summit 2024 Yappli

Avatar for Masahito Mochizuki

Masahito Mochizuki

February 21, 2024
Tweet

More Decks by Masahito Mochizuki

See All by Masahito Mochizuki
codt-2022-yappli
Avatar for Masahito Mochizuki mmochi23
0
980
[SRE NEXT 2022]ヤプリのSREにおけるセキュリティ強化の取り組みを公開する
Avatar for Masahito Mochizuki mmochi23
2
8.9k

Other Decks in Technology

See All in Technology
united airlines ™®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for yasam flyunitedhelp
1
470
公開初日に Gemini CLI を試した話や FFmpeg と組み合わせてみた話など / Gemini CLI 初学者勉強会(#AI道場)
Avatar for you(@youtoy) you
PRO
0
910
Contributing to Rails? Start with the Gems You Already Use
Avatar for Yasuo Honda yahonda
2
120
cdk initで生成されるあのファイル達は何なのか/cdk-init-generated-files
Avatar for tomoki10 tomoki10
1
450
How to Quickly Call American Airlines®️ U.S. Customer Care : Full Guide
Avatar for goldfinch3710 flyaahelpguide
0
240
ロールが細分化された組織でSREは何をするか?
Avatar for norimichi.osanai tgidgd
1
170
モニタリング統一への道のり - 分散モニタリングツール統合のためのオブザーバビリティプロジェクト
Avatar for ニフティ株式会社 niftycorp
PRO
1
260
ゼロからはじめる採用広報
Avatar for Yuta Horii yutadayo
3
1k
60以上のプロダクトを持つ組織における開発者体験向上への取り組み - チームAPIとBackstageで構築する組織の可視化基盤 - / sre next 2025 Efforts to Improve Developer Experience in an Organization with Over 60 Products
Avatar for VTRyo vtryo
2
640
サイバーエージェントグループのSRE10年の歩みとAI時代の生存戦略
Avatar for shotaTsuge shotatsuge
4
730
freeeのアクセシビリティの現在地 / freee's Current Position on Accessibility
Avatar for ymrl ymrl
2
260
VS CodeとGitHub Copilotで爆速開発!アップデートの波に乗るおさらい会 / Rapid Development with VS Code and GitHub Copilot: Catch the Latest Wave
Avatar for Yusuke Yamada yamachu
2
300

Featured

See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
62k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
138
34k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
29
9.6k
Done Done
Avatar for chrislema chrislema
184
16k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
36
2.8k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
Docker and Python
Avatar for Tania Allard trallard
44
3.5k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.7k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
281
13k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k

Transcript

  1. マルチプロダクト化に伴うプロダクトセキュリ ティの転換とチャレンジ Product Security Summit 2024

  2. 2018年に株式会社ヤプリへジョイン QAの立ち上げやテスト自動化推進などを経てSREを担当 現在はプロダクトセキュリティに限らず、全社のセキュリティ強 化をミッションとして各種取り組みを推進 自己紹介 望月 真仁 (もちづき まさひと)

  3. 単一プロダクトを育ててきたヤプリが、新たにYappli CRMをロー ンチしてマルチプロダクトを取り扱うようになり、発生した課題と取 り組みを紹介する 本日の話

  4. 課題 取り扱う情報の重要性 実装・構築者の違い トレーサビリティ オブザーバビリティ 新たなクライアント層 セキュリティ要求

  5. 最初は新しい事業における産みの苦しみや、スピード重視の別側 面かと考えた 考察

  6. いやマルチプロダクトになったことによる問題ではなく、そもそもの 事業拡大に伴う組織課題ではないか🤔 仮説

  7. 推進者が決まる まず最初に セキュリティ推進者:私

  8. 各領域との連携 アプリケーション • Webアプリケーションの脆弱性対策 • Mobileアプリケーションの脆弱性対策 • セキュアコーディング支援 • ペネトレーションテスト・静的解析

    サービス・インフラ • AWSのセキュリティ対策 • Google Cloudのセキュリティ対策 • 脆弱性診断・ペネトレーションテスト • 開発用SaaSのセキュリティ対策 SOC/CSIRT/PSIRT • セキュリティ監視・SIEM • アラート検知・インシデント対応 • フォレンジック • 社内外窓口 情報セキュリティ • 全社用SaaSのセキュリティ対策 • 社内ネットワークのセキュリティ対策 • ISMS・Pマークの運用 • セキュリティチェックシート対応 サーバー・フロント ・iOS・Androidエンジニア SRE SRE →セキュリティエンジニア コーポレートIT(情シス) セキュリティ推進者 →セキュリティエンジニア

  9. サイクルを回す 具体的なアプローチ 共有 議論 可視化 対策 仕組み化 振り返り 分析

  10. フレームワークを利用して、現状を振り返って分析する • ✅ フレームワークを併用する ◦ ISMS、CIS Controls v8、AWS Well-Architected Framework

    ◦ 例えば権限管理で、あるフレームワークでは OKとなるが、別フレームワークでは NGとなる ◦ フレームワークの特性、適用範囲等をうまく組み合わせる • ✅ プロダクト軸・組織軸など多角的に評価する ◦ Yappliではできているが、Yappli CRMではできていない ◦ 開発部ではできているが、営業部ではできていない ◦ 脆弱な箇所を狙われないよう全体のベースアップを意識する • ✅ 複数名でやる ◦ ある人はできていると言い、またある人はできてないと言う ◦ 各人の視界・持っている情報をすり合わせて、組織としての共通認識を持つ 振り返り・分析

  11. ツール・サービスを利用して、セキュリティ状況を可視化する • ✅ なるべく自社リソースを使わない ◦ CSPM、SIEM、EDR等を導入して自動でリアルタイムに情報更新する ◦ 貴重なセキュリティエンジニアが重要な業務に集中できる環境 • ✅

    マニュアルの観点も取り入れる ◦ 第三者による脆弱性診断を受ける ◦ セキュリティエンジニアによる社内視点でのテストもする ◦ ベンダーナレッジ・社内ドメイン知識・セキュリティトレンド等の様々な観点を組み合わせる • ✅ セキュリティダッシュボードを作る(To Be) ◦ セキュリティチームの定例で毎回チェックする ◦ 非セキュリティエンジニアでも組織のセキュリティ状況がイメージできる 可視化

  12. 共有・議論 同じ目線で議論できるよう、日頃から継続的な共有を意識する • ✅ エンジニアが集まる技術共有会でセキュリティコンテンツを提供する ◦ ランサムウェアとは何か ◦ 脆弱性情報(CVSS)の見方〜緊急対応が必要な可能性があるのはどんなとき?〜 ◦

    脆弱性診断〜結果とかもろもろ〜 • ✅ Shisho Cloudを活用したコミュニケーション ◦ 検出結果に対して「どのようなリスクがあるのか」「どう対処すれば良いのか」をインフラエンジニア とセキュリティエンジニアが同じ言葉で話せる ◦ SREとセキュリティエンジニアのギャップを埋める「コミュニケーションツール」として Shisho Cloudを活用 • ✅ 振り返り資料を元にサービス・ツールベンダーのエンジニアと議論する ◦ 専門的な立場から運用やセキュリティ向上のアドバイスももらえる(知らなかったが実は有用な機能 があった等) ◦ 自社の課題解決に繋がるリリースがあった際や、他社事例の紹介などをしてもらいやすい

  13. エンジニアによるセキュリティ対策を後押ししながら、組織全体としてもセキュリティを日 常的に意識ための仕掛けをする • ✅ 上位レイヤーへ定期的にレポートする ◦ 週次で部長レイヤー以上にインシデント・ヒヤリハット発生状況を報告している ◦ ISMS・プライバシーマークの各イベント・内部監査等をうまく活用する •

    ✅ 相談窓口を設置してアピールする ◦ セキュリティ組織が元々なかった関係もあり、相談先が明確になって知ってもらうことで様々な相談 が来るようになった ◦ 反対にそれまではプロジェクトや個人に閉じてセキュリティの判断がされるリスク • ✅ セキュリティとプライバシーの間を埋める ◦ 明確な線引きが難しいケースもあって間にボールが落ちやすい ◦ 法務・セキュリティチームで定例 MTGを設けて、お互いの問い合わせ共有や相互アドバイスをして いる 対策・仕組み化

  14. まとめ ヤプリはマルチプロダクト化→事業拡大に伴うセキュリティ課題に 立ち向かうため • セキュリティの推進者を明確に定めて • 振り返り・分析→可視化→共有・議論→対策・仕組み化のサイ クルを継続的に回し • 組織全体でセキュリティを考えていく土台を作っている