Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20220926_セキュリティチームの今_for_Drs._Prime_公開用.pdf

Sota Sugiura
October 02, 2022
38

 20220926_セキュリティチームの今_for_Drs._Prime_公開用.pdf

Sota Sugiura

October 02, 2022
Tweet

Transcript

  1. ©10X, Inc. All Rights Reserved.
    10Xセキュリティチームの今

    2022/09/26 DP Engineering Monday@オンライン
    1

    View full-size slide

  2. ©10X, Inc. All Rights Reserved.
    ● @sota1235
    ● Engineering Manager@10X
    初めましての方は初めまして

    2

    View full-size slide

  3. ©10X, Inc. All Rights Reserved. 3
    今日は10Xのセキュリティチームの話をします


    View full-size slide

  4. ©10X, Inc. All Rights Reserved.
    本日のお品書き

    1. Why - なぜセキュリティチームを作ったのか

    2. How - どうやってセキュリティチームを動かしてるのか

    3. What - 具体的にどんな取り組みをしたのか

    4

    View full-size slide

  5. ©10X, Inc. All Rights Reserved. 5
    〜その時歴史は動いた〜
    Why

    なぜセキュリティチームを作ったのか


    View full-size slide

  6. ©10X, Inc. All Rights Reserved.
    主な理由は2つ

    1. Think 10xした結果、必要だと考えたから

    2. セキュリティチームという箱が存在することが重要だから

    6

    View full-size slide

  7. ©10X, Inc. All Rights Reserved.
    主な理由は2つ

    1. Think 10xした結果、必要だと考えたから

    2. セキュリティチームという箱が存在することが重要だから

    7

    View full-size slide

  8. ©10X, Inc. All Rights Reserved.
    Stailerにおけるセキュリティの重要性

    ● StailerはいわゆるB to B to Cモデルの事業と言える

    ● そのためto C、to Bの両面でセキュリティに向き合っていく必要がある

    8

    View full-size slide

  9. ©10X, Inc. All Rights Reserved.
    to C領域におけるセキュリティ

    ● いわゆる一般的なECサイトに求められるようなセキュリティ品質が求められる

    ● 「決済情報は適切に守られてほしい」

    ● 「預けた住所や氏名はきちんと守ってほしい」

    ● 「アカウントが乗っ取られないようなセキュリティ機構を提供してほしい」

    ● 等々…

    9

    View full-size slide

  10. ©10X, Inc. All Rights Reserved.
    ECサイトは攻撃者の格好の的

    ● 攻撃者視点だとクレカ情報か個人情報どちらかでも抜ければ大きなリターン

    ● 直接攻撃はできずとも間接的にECサイトとしての機能を悪用される例もある

    ● サービスの規模が大きくなっていくと攻撃されるのは避けられない

    ● 攻撃者が目をつけるくらいサービスを10xさせたいですね

    10

    View full-size slide

  11. ©10X, Inc. All Rights Reserved.
    to B領域におけるセキュリティ

    ● Stailerにおいてはto Cの領域でセキュリティ品質が担保できていることを説明する必要がある

    ● キーワード「セキュリティチェックシート」

    ● エンタープライズや古株の企業は独自のセキュリティルールを内部的に持ってることが多く、そ
    れらへいかに効率よくかつ本質的な対応をしていくかが課題となる(なってる)

    11

    View full-size slide

  12. ©10X, Inc. All Rights Reserved.
    実際にあった問い合わせの事例

    
 ● 各種セキュリティソリューションの導入状況

    ● 通信、データの暗号化方式

    ● セキュリティアップデートの実施状況

    ● 等々…

    12

    View full-size slide

  13. ©10X, Inc. All Rights Reserved.
    Stailerのセキュリティ品質にどう向き合うか

    ● 正直、2022/1の当時にこれらのIssueが顕在化していたかと言われるとNo

    ● 言ってしまえばTask Force的にリソースを調整してCriticalなIssueに対応したり、SREチームが兼
    務する形を取る、という選択肢もあった

    ● が、兼務や一時的なリソースアサインは関心領域が限定的になってしまったり、取り組みがきち
    んと続いていかないリスクもあった

    ● Stailerの事業計画=これからのサービス拡大とパートナー増加を考えるとSmallでもいいから早
    めに取り組みを始めるべきと判断した

    13

    View full-size slide

  14. ©10X, Inc. All Rights Reserved.
    当時の予想 & 実際のFact

    ● セキュリティ品質の改善は地道でひたすらリスクの芽を整理して潰していくことが求められる足
    の長い取り組み

    ○ そしておそらくこの取り組みはサービスが成長し続ける限り一生終わることがない

    ● チームの組成があと3か月 ~ 半年遅かったら今よりもっと後手に回っている状況だった

    ● 10Xの場合はセキュリティの専門家がいないという大きなハンデもあったので先手を打てたのは
    よかった

    14

    View full-size slide

  15. ©10X, Inc. All Rights Reserved.
    主な理由は2つ

    1. Think 10xした結果、必要だと考えたから

    2. セキュリティチームという箱が存在することが重要だから

    15

    View full-size slide

  16. ©10X, Inc. All Rights Reserved.
    チームが社内にある重要性

    ● セキュリティチームが社内にあることでStailerの大小さまざまなセキュリティIssueが1箇所に集約
    される

    ● 1箇所に集約し、Ownershipを持つことで「Stailerのセキュリティなんとなくやばそう」を整理、言語
    化することができる

    ● 実際にIssueを集めて何が顕在化しているIssueなのかや、明らかにできていないIssue(Known
    Unknowns)を知ることができた

    ● 新しいIssueはSlack上で @team_security へのメンションで把握している

    16

    View full-size slide

  17. ©10X, Inc. All Rights Reserved. 17
    〜7割は気合い〜
    How

    どうやってセキュリティチームを動かしてるのか


    View full-size slide

  18. ©10X, Inc. All Rights Reserved.
    10Xセキュリティチームの体制

    ● 立て付けとしてはDevelopment Platformチーム配下のSubTeam

    ○ Development Platformチーム=基盤チーム的なところ(SRE, QA, Security)

    ● 2022/01に組成

    ● Mission: Stailerで扱う全ての情報、システムが安全であることを目指す


    18

    View full-size slide

  19. ©10X, Inc. All Rights Reserved.
    チーム体制 

    19
    Security Team 2名(1.5名)
    ※両名ともBackend SWEが専門
    SREチーム 2名
    Corp ITチーム 2名
    サポート
    サポート

    View full-size slide

  20. ©10X, Inc. All Rights Reserved.
    10Xセキュリティチームの特徴

    ● リソースが少ない(よくある)

    ● Corp ITチームとふんわり責任境界を決めて協調してる

    ○ Product Security, Corporate Securityと言う言葉でふんわり分業してる

    ○ いずれ明確な線引きの整理が必要だが双方ともスモールチームなのでいつかやれたらいい、くらいの温度感

    ● セキュリティの専門家が不在

    20

    View full-size slide

  21. ©10X, Inc. All Rights Reserved. 21
    セキュリティ専門家不在のセキュリティチームで

    Product守れるの?🤔


    View full-size slide

  22. ©10X, Inc. All Rights Reserved.
    SWEの立場でもできることはたくさんある

    ● セキュリティチームが不在、もしくは専門家が不在の組織はセキュリティIssueが基本的に積まれ
    続けている

    ● その状況下であればSWEができることは多い

    ○ 普段の開発で考える「セキュリティ的に気をつけなきゃいけないこと」に100%Focusして取り組むイメージ

    ● セキュリティIssueの解決を計画と実行に分けた時、実行の際にはSWEの知識が役に立つことが
    多い

    ○ 例) Cloud Securityの治安を維持するための自動化をどうすればいいのか

    ○ 例) 仕様上、どうなってるかを追うためにソースコードを精読する

    22

    View full-size slide

  23. ©10X, Inc. All Rights Reserved.
    専門家がいないと難しいこと(=10Xの残課題)

    ● 理想の未来像を描いた上での戦略策定

    ○ 3~5年単位で目指すべき場所の定義

    ○ 事業計画から逆算した上での戦略策定やリソース配分の決定、プロダクトのブレーキをいつかけるべきなのか

    ● 現状の体系的な整理

    ○ Product SecurityとCorprate Securityの境界も1つのトピック

    ○ 「サービスのセキュリティ品質が担保されている」の具体的な構成要素をbreak downする必要がある

    23

    View full-size slide

  24. ©10X, Inc. All Rights Reserved. 24
    〜地道に愚直に〜
    What

    具体的にどんな取り組みをしたのか


    View full-size slide

  25. ©10X, Inc. All Rights Reserved.
    時系列順

    1. 現状の整理をする

    2. ひとまず緊急で解決すべきIssueを解く(守り)

    3. チーム体制強化の準備=採用準備を整える

    4. セキュリティチームとして解くべきだと考えるIssueに着手する(攻め) ← イマココ

    25

    View full-size slide

  26. ©10X, Inc. All Rights Reserved.
    現状の整理 - Issueの棚卸し

    ● 当時時点で存在したGitHub Issuesの中からセキュリティにまつわるIssueにラベリング

    ● 現在はGitHub上で把握できている全てのセキュリティIssueが集約されている状態

    ● Slack上でフロー情報として流れてくるIssueはSlack reaction -> Notion DBに溜め込む仕組みを
    作って必要であればIssueとして管理する

    26

    View full-size slide

  27. ©10X, Inc. All Rights Reserved.
    Slackで溜め込む仕組み

    27

    View full-size slide

  28. ©10X, Inc. All Rights Reserved.
    オンデマンドで発生するセキュリティIssueの対応

    ● パートナーからの要求に伴うセキュリティIssueの対応

    ○ 管理画面のアクセス制限、10X社内での個人情報の閲覧の監査ログ管理等

    ● 各パートナーからの問い合わせ対応

    ● 新規機能のセキュリティレビュー

    ● 年1回のセキュリティ診断の実施

    28

    View full-size slide

  29. ©10X, Inc. All Rights Reserved.
    顕在化しているIssueのうちリスクの高いものへの対応

    ● GCP権限の整理

    ○ 昔は開発者全員、Owner権限を持っている時代もありました。知ってましたか?

    ● セキュリティ関連のIncidentの再発防止策

    ● 個人情報の管理体制の改善

    29

    View full-size slide

  30. ©10X, Inc. All Rights Reserved.
    Job DescriptionのOpen

    ● 「いつか」ではなく「今」セキュリティエンジニアの採
    用活動を始めるための一歩

    ● 会社が求めるセキュリティ人材を事業から逆算し
    て言語化する

    ● セキュリティエンジニアの採用市場は厳しい、早め
    早めに動くのが大事

    30

    View full-size slide

  31. ©10X, Inc. All Rights Reserved.
    予防的な施策の検討

    ● GCP上のセキュリティリスクを自動検知するサービス導入の検討

    ○ Security Command Center、Elastic Security

    ● 個人情報の所在を自動でリスト化するツールの実装

    ● 個人情報の管理体制のToBeデザイン

    ● 外部リソースの活用検討

    31

    View full-size slide

  32. ©10X, Inc. All Rights Reserved.
    取り組みの中で見えてきたこと

    ● (再掲)SWEの立場でも解決できる問題は多い

    ○ 権限整理であれば現状把握からひたすら整理していったり、監査ログを有効にする

    ○ 個人情報の整理は入口から出口までを洗い出してある程度機械的に保守できる仕組みを考える

    ● 早ければ早いほど安い

    ○ 例えば「サービスの個人情報って社内のどこにあるの?」という問いに答えるためには究極、全情報のチェックが必要

    ○ これに取り組むのは早ければ早いほどいい、なぜならスコープが小さく済むから

    ○ この3ヶ月間でチームのSWEには数百存在するBigQueryのdatasetを1つ1つチェックしてもらいました、頭が上がりませ
    ん

    32

    View full-size slide

  33. ©10X, Inc. All Rights Reserved.
    取り組みの中で見えてきたこと

    ● 採用活動は中長期で考える必要がある

    ○ SWEと比べると市場にそもそもパイが無い

    ○ その中からさらにハイレベルなメンバー(Product Securityのロードマップを描けるような人材)となるとさらに厳しい

    ○ なるべく早く、継続的な活動を始める必要がある

    ● 案外、取り組みをスモールにスタートする方法はある

    ○ 10XのようにSWEでまずは取り組み始めるのも手だし、調べるとSecurity系のソリューションはかなり多い

    ○ ただ、どんなサービスも入れたら終わりではなく入れてからの運用や文化づくりが本丸なのでそこにリソースを一定貼
    る必要がある

    ○ Dependabot, Renobate導入 → 誰もmergeせず放置、みたいなのってあるあるデスヨネ

    33

    View full-size slide

  34. ©10X, Inc. All Rights Reserved. 34
    Thank you


    View full-size slide