Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
僕たちは何を守っているのか?ビジネスを守る、ヌーラボのセキュリティ実践
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
株式会社ヌーラボ
PRO
March 31, 2025
Technology
130
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
僕たちは何を守っているのか?ビジネスを守る、ヌーラボのセキュリティ実践
株式会社ヌーラボ
PRO
March 31, 2025
More Decks by 株式会社ヌーラボ
See All by 株式会社ヌーラボ
The_Evolution_of_Bits_AI_SRE.pdf
nulabinc
PRO
0
340
進化するBits AI SREと私と組織
nulabinc
PRO
4
770
実践 Datadog MCP Server
nulabinc
PRO
4
770
全社横断PjM⽀援チーム “PEaS”の取り組みと プロジェクトマネジメント でのAI活⽤について
nulabinc
PRO
0
190
Datadog の RBAC のすべて
nulabinc
PRO
4
830
Datadog Live Tokyo 2025登壇資料
nulabinc
PRO
0
170
How to Migrate Your Backlog Free Plan
nulabinc
PRO
0
250
チームワークマネジメント Bar #5
nulabinc
PRO
0
92
Geeks Who Drink Fukuoka - 202508
nulabinc
PRO
0
71
Other Decks in Technology
See All in Technology
コミュニティの有益性 ~JAWS Days 2026 での体験を通して~ / The Benefits of a Community ~Through My Experience at JAWS Days 2026~
seike460
PRO
0
300
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
yoshimi0227
0
970
UIパーツの設計を「型」から読み解く 〜TSKaigiのセッションから得た学び〜
yud0uhu
0
110
AIエージェントとPhysical AIが拓く製造業の変革(ハノーバーメッセリキャップ)
iotcomjpadmin
0
170
AWS Summit 2026で見えたSIerにとっての Amazon Quickの位置づけ
maf_0521
0
120
製造現場での生成AIの活用、およびエージェントAIの実装のあり方、AVEVAの取り組み
iotcomjpadmin
0
180
現場のトークンマネジメント
dak2
1
200
CVE-2026-20833_脆弱性対応とAES 化について
jukishiya
0
180
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
170
From Prompt Engineering to Loop Engineering
shibuiwilliam
1
280
Agile and AI Redmine Japan 2026
hiranabe
4
500
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
nori_shinoda
0
260
Featured
See All Featured
A Modern Web Designer's Workflow
chriscoyier
698
190k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
170
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
65
56k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.5k
Believing is Seeing
oripsolob
1
160
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.3k
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.7k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
540
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
310
The Art of Programming - Codeland 2020
erikaheidi
57
14k
Chasing Engaging Ingredients in Design
codingconduct
0
230
Transcript
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 僕たちは何を守っているのか? ビジネスを守る、ヌーラボのセキュリティ実践 2025.3.19 ⾺場保幸
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. ⾃⼰紹介 & 会社紹介
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 株式会社ヌーラボ 取締役 CTO ⾺場 保幸 Yasuyuki Baba (@babab) 千葉県在住 推しのサッカーチーム ジェフユナイテッド市原‧千葉 ⾃⼰紹介
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 会社紹介 株式会社ヌーラボ https://nulab.com/ “このチームで⼀緒に仕事できてよかった” を世界中に⽣み出していく。 仕事が少しでも楽しくなることを⽬指し、 コラボレーションツールを開発‧提供しています。
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 企業情報 設⽴:2004年 上場市場:東証グロース 上場年⽉⽇:2022年6⽉28⽇ 従業員数(連結):159⼈ (2024年3⽉31⽇現在、グループ全体) オフィス:福岡(本社)、東京、京都、ニューヨーク、アムステルダム フルリモートで、オフィスへ出社しても家から仕事をしてもOK
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. ミッション To make creating simple and enjoyable. 創造を易しく 楽しくする
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. サービスの紹介
Copyright Nulab Inc. All Rights Reserved. サービスの紹介 ヌーラボは Backlog、Cacoo、Nulab Pass
を提供しているSaaSプロバイダーです。
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 何か新しいものを生み出す人のためのオー ルインワンコラボレーションツール。 Backlogを使えば、最も重要なことに集中で きます。 プロジェクト管理、コード管理、バグ追跡な ど。 https://backlog.com/
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. ワイヤーフレームやフローチャートなどを共 同で作成できるオンライン作図ツール。 どこからでも図にアクセスできます。 https://cacoo.com/
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. Nulab Passとは、ヌーラボが提供するアプ リのセキュリティとガバナンスを、組織全体 で一元管理するためのサブスクリプションで す。 BacklogやCacooを含むすべてのヌーラボ 製品でご利用いただけます。 https://cacoo.com/
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. SaaSプロバイダーである僕たちは 何を 守っているのか?
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 守るもの1 顧客
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. SaaSは重要なデータを預かっている SaaSは顧客のデータを預かることで成り⽴っている ヌーラボのサービスでも 顧客の業務上、重要なデータをお預かりしている
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. たとえば... セキュリティ事故が発⽣して顧客のデータが漏洩 ⇩ 顧客の機密情報が含まれていた ⇩ 顧客の事業に重⼤な問題が発⽣
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 守るもの2 事業
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. SaaSは継続的に価値を提供している SaaSは継続的に価値を提供することで成り⽴っている ヌーラボのサービスでも 顧客の⽇々の業務で⽋かせない価値を提供している
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. たとえば... サービスが⻑期間ダウン ⇩ 顧客が仕事をできない ⇩ 顧客からの信頼喪失
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 守るもの3 社員
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. SaaSは継続的な進化が必要 SaaSは継続的に進化し価値を⾼めていくことが重要 ヌーラボのサービスでも 優秀な社員が⽇々アップデートを繰り返している
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. たとえば‧‧‧ 社員がフィッシングサイトにパスワードを⼊⼒ ⇩ 悪意を持った外部者がサーバーへのアクセス権を得てしまう ⇩ 情報漏洩
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 僕たちは何を守るのか? 1. 顧客 2. 事業 3. 社員
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. それらを脅かすものたち
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 1. 顧客を脅かす脅威
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 不正アクセス パスワードリスト攻撃 セッションハイジャック
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. データ流出 権限設定ミス SQLインジェクション
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. データ消失 クラウド障害 ユーザーの誤操作 悪意のある攻撃
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 2. 事業を脅かす脅威
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. サービス停⽌ バグ‧不具合 パフォーマンス劣化 ヒューマンエラー
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. サプライチェーン攻撃 依存ライブラリの脆弱性 サードパーティSaaSの侵害
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 法規制違反 GDPR/CCPA違反による罰則‧訴訟リスク
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 3. 社員を脅かす脅威
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 内部不正‧情報流出 アクセス権限の管理ミス 退職者アカウントの残存
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. デバイスの紛失‧盗難 管理されていないPCやスマホの不正利⽤
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 社員のセキュリティ意識不⾜ パスワードの使い回し 社外への連絡時の誤操作 フィッシング
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 守るための戦略へ
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. セキュリティは技術だけではない 技術 × プロセス × ⽂化 = 強固なセキュリティ どんなに⾼度なシステムを導⼊しても 運⽤が適切でなければ意味がない 社員⼀⼈ひとりの意識と⾏動が 企業全体のセキュリティを左右する
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 守るための戦略へ
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. サイバー攻撃への対処
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. パスワードリスト攻撃 2020年にパスワードリスト攻撃を受けた
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 当時の対応 ユーザーへの速やかな通知と注意喚起 IDとパスワードの使いまわしによる不正アクセスにご注意ください 脆弱なパスワードの登録制限 セキュリティ強化のためヌーラボアカウントで脆弱なパスワードは使⽤できなくなります 2段階認証(2FA)の強化 より安全にヌーラボアカウントにログインできるようになりました!
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. その後の対応 パスキーの導⼊と改善 ヌーラボでパスキーを導⼊したって⾔ってるけど、パスキーって何ですか? ヌーラボアカウントのパスキーが使いやすくなりました
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. オープンな姿勢の重要性 対応の詳細をオープンに公開(透明性) ⇩ 顧客の不安を最⼩限に抑え ⇩ 顧客からの信頼強化
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. モニタリングとオブザーバビリティ
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. モニタリング (監視) サーバー監視サービス(Mackerel)でシステムを監視 異常が⾒つかったらエンジニアへアラート通知
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. モニタリングのため複数のツールを併⽤ 複数のツールを利⽤
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. モニタリングのためのツール統合
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. オブザーバビリティ (可観測性) モニタリング どこに異常があるかを検知する オブザーバビリティ システム全体を可視化し、情報を分析することで障害が起こる原因を特定する
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 脆弱性開⽰プログラム
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 脆弱性開⽰プログラムの確⽴ 脆弱性開⽰プログラム (Vulnerability Disclosure Program: VDP) ⇩ 脆弱性発⾒者が安全に脆弱性を報告できる窓⼝を設ける制度
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 脆弱性を報告できる窓⼝の設置 外部のホワイトハッカーやセキュリティ研究者は、 脆弱性を発⾒すると報告してくれようとする security.txtに窓⼝のURLを記載 VDPのプラットフォームとしてIssueHunt VDPを利⽤
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. security.txt とは? ウェブサイトにセキュリティポリシーやサイトの脆弱性を発⾒したときの 連絡先を記載するための標準化された形式 RFC 9116 - A File Format to Aid in Security Vulnerability Disclosure ホワイトハッカーやセキュリティ研究者が脆弱性を発⾒すると まずはこのファイルから報告先を探す
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. • CVSSを⽤いて脆弱性を評価し、トリアージ • 報告者とのコミュニケーション • 開発チームへの報告 など、業務フローに従って運⽤している 脆弱性の報告を受けたあとは
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 窓⼝を設置する以前は‧‧‧ • 外部の⼈がサービスの脆弱性を発⾒したものの、適切な報告窓⼝が⾒つから ないことで脆弱性が放置された可能性がある • 会社のお問い合わせフォームから脆弱性を報告してくれたものの、サービス に関する様々なお問い合わせと混在して⾒落とし、報告者への返答が遅くな り、意図せず脆弱性が公開されそうになった
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. セキュリティ‧バイ‧デザイン
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. セキュリティ‧バイ‧デザイン (Security by Design ) は内閣サイバーセキュリ ティセンター(NISC)により「情報セキュリティを企画‧設計段階から確保するた めの⽅策」として定義されている 政府情報システムにおけるセキュリティ‧バイ‧デザインガイドライン(第2版) 企画‧設計のフェーズからセキュリティ対策を組み込んでおくことで 設計思想や組織⽂化としてセキュリティを根付かせる考え⽅ 情報セキュリティを企画‧設計段階から確保する
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. CI/CDパイプラインでソースコードの静的解析 CI/CDパイプラインにソースコードの静的解析 (Sonarqube) を組み込み セキュリティ上の問題を引き起こす可能性のある箇所を早期に検出している
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. Sonarqubeが検出してくれる主な問題 • 潜在的なバグ、論理的な誤り • セキュリティ脆弱性 • コードの品質
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. Sonarqubeが検出してくれるセキュリティ脆弱性 • ⼀般的な脆弱性 ◦ SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエスト フォージェリ(CSRF)など、代表的なセキュリティ脆弱性を検出 • OWASP Top 10への対応 ◦ OWASP(Open Web Application Security Project)が公開しているWebアプリケーションの 脆弱性ランキング「OWASP Top 10」に対応した検出ルールを備えている • 機密情報の漏洩 ◦ ハードコードされたパスワード、APIキーなど、機密情報がソースコード内に含まれている箇 所を検出
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. ⽣成AIによって⽣成されたソースコードの解析 AIによるソースコード⽣成の⼀般化 ⾃動⽣成されたコードがセキュアであるとは限らない 静的解析による脆弱性検出の必要性が⾼まる コードの品質管理とセキュリティを両⽴するための仕組みが求められる
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. セキュリティアウェアネストレーニング
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. セキュリティアウェアネストレーニングとは? 組織内の全メンバーを対象に、 セキュリティに関する意識や知識、⾏動を向上させる ために⾏う教育‧啓発活動のこと 技術的な対策だけでなく、社員⼀⼈ひとりが ⽇常業務で適切な⾏動を取れるように、 リスクや脅威を認識させることが⽬的
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 扱うテーマ例 • 安全なパスワードの設定⽅法や管理ツールの利⽤促進など、パスワード管理 の重要性 • 怪しいメールやリンクの⾒分け⽅、不審なメール受信時の対応⽅法など、 フィッシング攻撃対策 • 不正アクセスを狙った⼼理的な攻撃⼿法(なりすまし、電話での誘導など) • 安全なリモートワークの実践のための、公衆Wi-Fi利⽤時の注意点、端末管 理、VPN接続の重要性など • 情報漏洩の防⽌のための機密情報や個⼈情報の取り扱いルールと責任 • インシデントを発⾒した際の報告ルートや対応⼿順
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. どうやって実施しているか セキュリオを利⽤することで、ブラウザ上から毎週3問ずつ実施している その場で答え合わせができ解説も読めるので、少しずつ知識が定着する ⼿軽に実施できるので回答率も⾼め セキュリティ意識の向上と⽂化の醸成のため、 ⾃主性を尊重しつつ参加を奨励している (参加率 全社員の60%程度)
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. まとめ
Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. まとめ 守ることは、攻めることでもある