Tweet
Tweet

Slide 1

Slide 1 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 僕たちは何を守っているのか? ビジネスを守る、ヌーラボのセキュリティ実践 2025.3.19 ⾺場保幸

Slide 2

Slide 2 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. ⾃⼰紹介 & 会社紹介

Slide 3

Slide 3 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 株式会社ヌーラボ 取締役 CTO ⾺場 保幸 Yasuyuki Baba (@babab) 千葉県在住 推しのサッカーチーム ジェフユナイテッド市原‧千葉 ⾃⼰紹介

Slide 4

Slide 4 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 会社紹介 株式会社ヌーラボ https://nulab.com/ “このチームで⼀緒に仕事できてよかった” を世界中に⽣み出していく。 仕事が少しでも楽しくなることを⽬指し、 コラボレーションツールを開発‧提供しています。

Slide 5

Slide 5 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 企業情報 設⽴:2004年 上場市場:東証グロース 上場年⽉⽇:2022年6⽉28⽇ 従業員数(連結):159⼈ (2024年3⽉31⽇現在、グループ全体) オフィス:福岡(本社)、東京、京都、ニューヨーク、アムステルダム フルリモートで、オフィスへ出社しても家から仕事をしてもOK

Slide 6

Slide 6 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. ミッション To make creating simple and enjoyable. 創造を易しく 楽しくする

Slide 7

Slide 7 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. サービスの紹介

Slide 8

Slide 8 text

Copyright Nulab Inc. All Rights Reserved. サービスの紹介 ヌーラボは Backlog、Cacoo、Nulab Pass を提供しているSaaSプロバイダーです。

Slide 9

Slide 9 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 何か新しいものを生み出す人のためのオー ルインワンコラボレーションツール。 Backlogを使えば、最も重要なことに集中で きます。 プロジェクト管理、コード管理、バグ追跡な ど。 https://backlog.com/

Slide 10

Slide 10 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. ワイヤーフレームやフローチャートなどを共 同で作成できるオンライン作図ツール。 どこからでも図にアクセスできます。 https://cacoo.com/

Slide 11

Slide 11 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. Nulab Passとは、ヌーラボが提供するアプ リのセキュリティとガバナンスを、組織全体 で一元管理するためのサブスクリプションで す。 BacklogやCacooを含むすべてのヌーラボ 製品でご利用いただけます。 https://cacoo.com/

Slide 12

Slide 12 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. SaaSプロバイダーである僕たちは 何を 守っているのか?

Slide 13

Slide 13 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 守るもの1 顧客

Slide 14

Slide 14 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. SaaSは重要なデータを預かっている SaaSは顧客のデータを預かることで成り⽴っている ヌーラボのサービスでも 顧客の業務上、重要なデータをお預かりしている

Slide 15

Slide 15 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. たとえば... セキュリティ事故が発⽣して顧客のデータが漏洩 ⇩ 顧客の機密情報が含まれていた ⇩ 顧客の事業に重⼤な問題が発⽣

Slide 16

Slide 16 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 守るもの2 事業

Slide 17

Slide 17 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. SaaSは継続的に価値を提供している SaaSは継続的に価値を提供することで成り⽴っている ヌーラボのサービスでも 顧客の⽇々の業務で⽋かせない価値を提供している

Slide 18

Slide 18 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. たとえば... サービスが⻑期間ダウン ⇩ 顧客が仕事をできない ⇩ 顧客からの信頼喪失

Slide 19

Slide 19 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 守るもの3 社員

Slide 20

Slide 20 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. SaaSは継続的な進化が必要 SaaSは継続的に進化し価値を⾼めていくことが重要 ヌーラボのサービスでも 優秀な社員が⽇々アップデートを繰り返している

Slide 21

Slide 21 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. たとえば‧‧‧ 社員がフィッシングサイトにパスワードを⼊⼒ ⇩ 悪意を持った外部者がサーバーへのアクセス権を得てしまう ⇩ 情報漏洩

Slide 22

Slide 22 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 僕たちは何を守るのか? 1. 顧客 2. 事業 3. 社員

Slide 23

Slide 23 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. それらを脅かすものたち

Slide 24

Slide 24 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 1. 顧客を脅かす脅威

Slide 25

Slide 25 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 不正アクセス パスワードリスト攻撃 セッションハイジャック

Slide 26

Slide 26 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. データ流出 権限設定ミス SQLインジェクション

Slide 27

Slide 27 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. データ消失 クラウド障害 ユーザーの誤操作 悪意のある攻撃

Slide 28

Slide 28 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 2. 事業を脅かす脅威

Slide 29

Slide 29 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. サービス停⽌ バグ‧不具合 パフォーマンス劣化 ヒューマンエラー

Slide 30

Slide 30 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. サプライチェーン攻撃 依存ライブラリの脆弱性 サードパーティSaaSの侵害

Slide 31

Slide 31 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 法規制違反 GDPR/CCPA違反による罰則‧訴訟リスク

Slide 32

Slide 32 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 3. 社員を脅かす脅威

Slide 33

Slide 33 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 内部不正‧情報流出 アクセス権限の管理ミス 退職者アカウントの残存

Slide 34

Slide 34 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. デバイスの紛失‧盗難 管理されていないPCやスマホの不正利⽤

Slide 35

Slide 35 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 社員のセキュリティ意識不⾜ パスワードの使い回し 社外への連絡時の誤操作 フィッシング

Slide 36

Slide 36 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 守るための戦略へ

Slide 37

Slide 37 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. セキュリティは技術だけではない 技術 × プロセス × ⽂化 = 強固なセキュリティ どんなに⾼度なシステムを導⼊しても 運⽤が適切でなければ意味がない 社員⼀⼈ひとりの意識と⾏動が 企業全体のセキュリティを左右する

Slide 38

Slide 38 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 守るための戦略へ

Slide 39

Slide 39 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. サイバー攻撃への対処

Slide 40

Slide 40 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. パスワードリスト攻撃 2020年にパスワードリスト攻撃を受けた

Slide 41

Slide 41 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 当時の対応 ユーザーへの速やかな通知と注意喚起 IDとパスワードの使いまわしによる不正アクセスにご注意ください 脆弱なパスワードの登録制限 セキュリティ強化のためヌーラボアカウントで脆弱なパスワードは使⽤できなくなります 2段階認証(2FA)の強化 より安全にヌーラボアカウントにログインできるようになりました!

Slide 42

Slide 42 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. その後の対応 パスキーの導⼊と改善 ヌーラボでパスキーを導⼊したって⾔ってるけど、パスキーって何ですか? ヌーラボアカウントのパスキーが使いやすくなりました

Slide 43

Slide 43 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. オープンな姿勢の重要性 対応の詳細をオープンに公開(透明性) ⇩ 顧客の不安を最⼩限に抑え ⇩ 顧客からの信頼強化

Slide 44

Slide 44 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. モニタリングとオブザーバビリティ

Slide 45

Slide 45 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. モニタリング (監視) サーバー監視サービス(Mackerel)でシステムを監視 異常が⾒つかったらエンジニアへアラート通知

Slide 46

Slide 46 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. モニタリングのため複数のツールを併⽤ 複数のツールを利⽤

Slide 47

Slide 47 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. モニタリングのためのツール統合

Slide 48

Slide 48 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. オブザーバビリティ (可観測性) モニタリング どこに異常があるかを検知する オブザーバビリティ システム全体を可視化し、情報を分析することで障害が起こる原因を特定する

Slide 49

Slide 49 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 脆弱性開⽰プログラム

Slide 50

Slide 50 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 脆弱性開⽰プログラムの確⽴ 脆弱性開⽰プログラム (Vulnerability Disclosure Program: VDP) ⇩ 脆弱性発⾒者が安全に脆弱性を報告できる窓⼝を設ける制度

Slide 51

Slide 51 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 脆弱性を報告できる窓⼝の設置 外部のホワイトハッカーやセキュリティ研究者は、 脆弱性を発⾒すると報告してくれようとする security.txtに窓⼝のURLを記載 VDPのプラットフォームとしてIssueHunt VDPを利⽤

Slide 52

Slide 52 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. security.txt とは? ウェブサイトにセキュリティポリシーやサイトの脆弱性を発⾒したときの 連絡先を記載するための標準化された形式 RFC 9116 - A File Format to Aid in Security Vulnerability Disclosure ホワイトハッカーやセキュリティ研究者が脆弱性を発⾒すると まずはこのファイルから報告先を探す

Slide 53

Slide 53 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. ● CVSSを⽤いて脆弱性を評価し、トリアージ ● 報告者とのコミュニケーション ● 開発チームへの報告 など、業務フローに従って運⽤している 脆弱性の報告を受けたあとは

Slide 54

Slide 54 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 窓⼝を設置する以前は‧‧‧ ● 外部の⼈がサービスの脆弱性を発⾒したものの、適切な報告窓⼝が⾒つから ないことで脆弱性が放置された可能性がある ● 会社のお問い合わせフォームから脆弱性を報告してくれたものの、サービス に関する様々なお問い合わせと混在して⾒落とし、報告者への返答が遅くな り、意図せず脆弱性が公開されそうになった

Slide 55

Slide 55 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. セキュリティ‧バイ‧デザイン

Slide 56

Slide 56 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. セキュリティ‧バイ‧デザイン (Security by Design ) は内閣サイバーセキュリ ティセンター(NISC)により「情報セキュリティを企画‧設計段階から確保するた めの⽅策」として定義されている 政府情報システムにおけるセキュリティ‧バイ‧デザインガイドライン(第2版) 企画‧設計のフェーズからセキュリティ対策を組み込んでおくことで 設計思想や組織⽂化としてセキュリティを根付かせる考え⽅ 情報セキュリティを企画‧設計段階から確保する

Slide 57

Slide 57 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. CI/CDパイプラインでソースコードの静的解析 CI/CDパイプラインにソースコードの静的解析 (Sonarqube) を組み込み セキュリティ上の問題を引き起こす可能性のある箇所を早期に検出している

Slide 58

Slide 58 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. Sonarqubeが検出してくれる主な問題 ● 潜在的なバグ、論理的な誤り ● セキュリティ脆弱性 ● コードの品質

Slide 59

Slide 59 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. Sonarqubeが検出してくれるセキュリティ脆弱性 ● ⼀般的な脆弱性 ○ SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエスト フォージェリ(CSRF)など、代表的なセキュリティ脆弱性を検出 ● OWASP Top 10への対応 ○ OWASP(Open Web Application Security Project)が公開しているWebアプリケーションの 脆弱性ランキング「OWASP Top 10」に対応した検出ルールを備えている ● 機密情報の漏洩 ○ ハードコードされたパスワード、APIキーなど、機密情報がソースコード内に含まれている箇 所を検出

Slide 60

Slide 60 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. ⽣成AIによって⽣成されたソースコードの解析 AIによるソースコード⽣成の⼀般化 ⾃動⽣成されたコードがセキュアであるとは限らない 静的解析による脆弱性検出の必要性が⾼まる コードの品質管理とセキュリティを両⽴するための仕組みが求められる

Slide 61

Slide 61 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. セキュリティアウェアネストレーニング

Slide 62

Slide 62 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. セキュリティアウェアネストレーニングとは? 組織内の全メンバーを対象に、 セキュリティに関する意識や知識、⾏動を向上させる ために⾏う教育‧啓発活動のこと 技術的な対策だけでなく、社員⼀⼈ひとりが ⽇常業務で適切な⾏動を取れるように、 リスクや脅威を認識させることが⽬的

Slide 63

Slide 63 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. 扱うテーマ例 ● 安全なパスワードの設定⽅法や管理ツールの利⽤促進など、パスワード管理 の重要性 ● 怪しいメールやリンクの⾒分け⽅、不審なメール受信時の対応⽅法など、 フィッシング攻撃対策 ● 不正アクセスを狙った⼼理的な攻撃⼿法(なりすまし、電話での誘導など) ● 安全なリモートワークの実践のための、公衆Wi-Fi利⽤時の注意点、端末管 理、VPN接続の重要性など ● 情報漏洩の防⽌のための機密情報や個⼈情報の取り扱いルールと責任 ● インシデントを発⾒した際の報告ルートや対応⼿順

Slide 64

Slide 64 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. どうやって実施しているか セキュリオを利⽤することで、ブラウザ上から毎週3問ずつ実施している その場で答え合わせができ解説も読めるので、少しずつ知識が定着する ⼿軽に実施できるので回答率も⾼め セキュリティ意識の向上と⽂化の醸成のため、 ⾃主性を尊重しつつ参加を奨励している (参加率 全社員の60%程度)

Slide 65

Slide 65 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. まとめ

Slide 66

Slide 66 text

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All Rights Reserved. まとめ 守ることは、攻めることでもある