Ubieにおけるセキュリティ課題管理の自動化 Ubie株式会社 水谷正慶 (@m_mizutani) Product Security Casual Talks #1 自動化

2 自己紹介 水谷 正慶 Ph.D. (Media and Governance)。大学時代は侵入 検知システムやマルウェア対策に関する研究に取 り組む。日本IBMにて基礎研究所・SOCに勤務 （2011年~）クックパッドにてセキュリティエンジニア （2017年~）Ubie株式会社にてセキュリティエンジニ ア（2021年~）
 @m_mizutani

3 @Ubie,Inc. 自分の症状を答えるだけで、 参考病名や近くの医療機関等 「受診の手がかり」が調べられる 医療現場で実際に使われ鍛えられたAIを、生活者が適切な 医療にかかる目安として開放しています (2020年春〜) 無料で 誰でも いつでも ほぼ全ての症状で＊ ＊99% (1.3万超)の症状に対応 Ubieのプロダクト (1/2)

4 @Ubie,Inc. 問診業務効率化や認知向上など、 患者さんとのコミュニケーション設計を通じ、 診察の質向上を支援する医療機関向けサービス 病院・クリニックそれぞれのニーズに合わせた以下のような 機能を提供・開発しています ユビーAI問診 ユビーリンク ホームページAI相談窓口 etc… Ubieのプロダクト (2/2)

5 セキュリティ課題とはなんのことか ● （今回は）プロダクトセキュリティに関連するリスクのこと ○ アプリケーションとしての脆弱性 ○ 実行環境における脅威 ○ インフラ設定の不備 ● 様々なきっかけで新たに課題が生まれ、継続的に検出する必要がある ○ 新しい脆弱性が発見される ○ プロダクトが攻撃をうける ○ インフラの設定を変える

6 セキュリティ課題管理の自動化 検出 管理 解決 どこに課題（リスク）があ るかを探し出す 検出された課題をどのよ うに処理するのか判断し たり状態を記録する 問題がない 状態に修正する かなり 自動化できる まあまあ 自動化できる 筋肉 (手動) ここをなるべく自動化する

7 Ubieにおけるプロダクトセキュリティ関連自動化の現状 検出 管理 解決 プロダクト 実行環境の監視 ソースコード・ パッケージ脆弱性 クラウド環境の 設定不備 SCC (Security Command Center) Snyk Shisho Cloud (アーリーアクセス版) 手動 AlertChain (内製SOARツール) 手動 手動

8 Security Command Center + AlertChain プロダクト実行環境の監視 VMの監視 Pub/Sub SCC Cloud Run GitHub AlertChain（SOARツール）で通知先やア サインの制御、補足情報の取得など Issue上で対応状況の管理・記録 https://github.com/m-mizutani/alertchain

9 Snykによるリポジトリの監視 ソースコード、パッケージ脆弱性 ● ソースコードのリポジトリをスキャンし脆弱性の検出と対応状況管理 ○ 修正しない場合にも理由を記録可能

10 Shisho Cloud(アーリーアクセス版)によるGoogle CloudやGitHubの監視 クラウド環境の設定不備 ● 不適切な可能性のある設定を検出し、修正方法の提案や対応状況管理ができる ● Regoによるポリシーの記述やワークフロー制御も可能

続きはパネルディスカッションで！ …and we are hiring!! https://recruit.ubie.life/jd_dev/security_engineer