20220926_セキュリティチームの今_for_Drs._Prime_公開用.pdf

Transcript

1. ©10X, Inc. All Rights Reserved. 10Xセキュリティチームの今
 2022/09/26 DP Engineering Monday@オンライン

   1

2. ©10X, Inc. All Rights Reserved. • @sota1235 • Engineering Manager@10X

   初めましての方は初めまして
 2

3. ©10X, Inc. All Rights Reserved. 3 今日は10Xのセキュリティチームの話をします


4. ©10X, Inc. All Rights Reserved. 本日のお品書き
 1. Why - なぜセキュリティチームを作ったのか


   2. How - どうやってセキュリティチームを動かしてるのか
 3. What - 具体的にどんな取り組みをしたのか
 4

5. ©10X, Inc. All Rights Reserved. 5 〜その時歴史は動いた〜 Why
 なぜセキュリティチームを作ったのか


6. ©10X, Inc. All Rights Reserved. 主な理由は2つ
 1. Think 10xした結果、必要だと考えたから
 2.

   セキュリティチームという箱が存在することが重要だから
 6

7. ©10X, Inc. All Rights Reserved. 主な理由は2つ
 1. Think 10xした結果、必要だと考えたから
 2.

   セキュリティチームという箱が存在することが重要だから
 7

8. ©10X, Inc. All Rights Reserved. Stailerにおけるセキュリティの重要性
 • StailerはいわゆるB to B

   to Cモデルの事業と言える 
 • そのためto C、to Bの両面でセキュリティに向き合っていく必要がある 
 8

9. ©10X, Inc. All Rights Reserved. to C領域におけるセキュリティ
 • いわゆる一般的なECサイトに求められるようなセキュリティ品質が求められる 


   • 「決済情報は適切に守られてほしい」 
 • 「預けた住所や氏名はきちんと守ってほしい」 
 • 「アカウントが乗っ取られないようなセキュリティ機構を提供してほしい」 
 • 等々…
 9

10. ©10X, Inc. All Rights Reserved. ECサイトは攻撃者の格好の的
 • 攻撃者視点だとクレカ情報か個人情報どちらかでも抜ければ大きなリターン 
 •

    直接攻撃はできずとも間接的にECサイトとしての機能を悪用される例もある 
 • サービスの規模が大きくなっていくと攻撃されるのは避けられない 
 • 攻撃者が目をつけるくらいサービスを10xさせたいですね 
 10

11. ©10X, Inc. All Rights Reserved. to B領域におけるセキュリティ
 • Stailerにおいてはto Cの領域でセキュリティ品質が担保できていることを説明する必要がある

    
 • キーワード「セキュリティチェックシート」 
 • エンタープライズや古株の企業は独自のセキュリティルールを内部的に持ってることが多く、そ れらへいかに効率よくかつ本質的な対応をしていくかが課題となる(なってる) 
 11

12. ©10X, Inc. All Rights Reserved. 実際にあった問い合わせの事例
 
 • 各種セキュリティソリューションの導入状況 


    • 通信、データの暗号化方式
 • セキュリティアップデートの実施状況 
 • 等々…
 12

13. ©10X, Inc. All Rights Reserved. Stailerのセキュリティ品質にどう向き合うか
 • 正直、2022/1の当時にこれらのIssueが顕在化していたかと言われるとNo 
 •

    言ってしまえばTask Force的にリソースを調整してCriticalなIssueに対応したり、SREチームが兼 務する形を取る、という選択肢もあった 
 • が、兼務や一時的なリソースアサインは関心領域が限定的になってしまったり、取り組みがきち んと続いていかないリスクもあった 
 • Stailerの事業計画＝これからのサービス拡大とパートナー増加を考えるとSmallでもいいから早 めに取り組みを始めるべきと判断した 
 13

14. ©10X, Inc. All Rights Reserved. 当時の予想 ＆ 実際のFact
 • セキュリティ品質の改善は地道でひたすらリスクの芽を整理して潰していくことが求められる足

    の長い取り組み
 ◦ そしておそらくこの取り組みはサービスが成長し続ける限り一生終わることがない
 • チームの組成があと3か月 ~ 半年遅かったら今よりもっと後手に回っている状況だった 
 • 10Xの場合はセキュリティの専門家がいないという大きなハンデもあったので先手を打てたのは よかった
 14

15. ©10X, Inc. All Rights Reserved. 主な理由は2つ
 1. Think 10xした結果、必要だと考えたから
 2.

    セキュリティチームという箱が存在することが重要だから
 15

16. ©10X, Inc. All Rights Reserved. チームが社内にある重要性
 • セキュリティチームが社内にあることでStailerの大小さまざまなセキュリティIssueが1箇所に集約 される
 •

    1箇所に集約し、Ownershipを持つことで「Stailerのセキュリティなんとなくやばそう」を整理、言語 化することができる
 • 実際にIssueを集めて何が顕在化しているIssueなのかや、明らかにできていないIssue(Known Unknowns)を知ることができた
 • 新しいIssueはSlack上で @team_security へのメンションで把握している
 16

17. ©10X, Inc. All Rights Reserved. 17 〜7割は気合い〜 How
 どうやってセキュリティチームを動かしてるのか


18. ©10X, Inc. All Rights Reserved. 10Xセキュリティチームの体制
 • 立て付けとしてはDevelopment Platformチーム配下のSubTeam 


    ◦ Development Platformチーム＝基盤チーム的なところ(SRE, QA, Security)
 • 2022/01に組成
 • Mission: Stailerで扱う全ての情報、システムが安全であることを目指す 
 
 18

19. ©10X, Inc. All Rights Reserved. チーム体制 
 19 Security Team

    2名(1.5名) ※両名ともBackend SWEが専門 SREチーム 2名 Corp ITチーム 2名 サポート サポート

20. ©10X, Inc. All Rights Reserved. 10Xセキュリティチームの特徴
 • リソースが少ない(よくある)
 • Corp

    ITチームとふんわり責任境界を決めて協調してる 
 ◦ Product Security, Corporate Securityと言う言葉でふんわり分業してる
 ◦ いずれ明確な線引きの整理が必要だが双方ともスモールチームなのでいつかやれたらいい、くらいの温度感
 • セキュリティの専門家が不在
 20

21. ©10X, Inc. All Rights Reserved. 21 セキュリティ専門家不在のセキュリティチームで
 Product守れるの？🤔


22. ©10X, Inc. All Rights Reserved. SWEの立場でもできることはたくさんある
 • セキュリティチームが不在、もしくは専門家が不在の組織はセキュリティIssueが基本的に積まれ 続けている
 •

    その状況下であればSWEができることは多い 
 ◦ 普段の開発で考える「セキュリティ的に気をつけなきゃいけないこと」に100％Focusして取り組むイメージ
 • セキュリティIssueの解決を計画と実行に分けた時、実行の際にはSWEの知識が役に立つことが 多い
 ◦ 例) Cloud Securityの治安を維持するための自動化をどうすればいいのか
 ◦ 例) 仕様上、どうなってるかを追うためにソースコードを精読する
 22

23. ©10X, Inc. All Rights Reserved. 専門家がいないと難しいこと(=10Xの残課題)
 • 理想の未来像を描いた上での戦略策定 
 ◦

    3~5年単位で目指すべき場所の定義
 ◦ 事業計画から逆算した上での戦略策定やリソース配分の決定、プロダクトのブレーキをいつかけるべきなのか
 • 現状の体系的な整理
 ◦ Product SecurityとCorprate Securityの境界も1つのトピック
 ◦ 「サービスのセキュリティ品質が担保されている」の具体的な構成要素をbreak downする必要がある
 23

24. ©10X, Inc. All Rights Reserved. 24 〜地道に愚直に〜 What
 具体的にどんな取り組みをしたのか


25. ©10X, Inc. All Rights Reserved. 時系列順
 1. 現状の整理をする
 2. ひとまず緊急で解決すべきIssueを解く(守り)

    
 3. チーム体制強化の準備＝採用準備を整える 
 4. セキュリティチームとして解くべきだと考えるIssueに着手する(攻め) ← イマココ
 25

26. ©10X, Inc. All Rights Reserved. 現状の整理 - Issueの棚卸し
 • 当時時点で存在したGitHub

    Issuesの中からセキュリティにまつわるIssueにラベリング 
 • 現在はGitHub上で把握できている全てのセキュリティIssueが集約されている状態 
 • Slack上でフロー情報として流れてくるIssueはSlack reaction -> Notion DBに溜め込む仕組みを 作って必要であればIssueとして管理する 
 26

27. ©10X, Inc. All Rights Reserved. Slackで溜め込む仕組み
 27

28. ©10X, Inc. All Rights Reserved. オンデマンドで発生するセキュリティIssueの対応
 • パートナーからの要求に伴うセキュリティIssueの対応 
 ◦

    管理画面のアクセス制限、１0X社内での個人情報の閲覧の監査ログ管理等
 • 各パートナーからの問い合わせ対応 
 • 新規機能のセキュリティレビュー 
 • 年1回のセキュリティ診断の実施 
 28

29. ©10X, Inc. All Rights Reserved. 顕在化しているIssueのうちリスクの高いものへの対応
 • GCP権限の整理
 ◦ 昔は開発者全員、Owner権限を持っている時代もありました。知ってましたか？


    • セキュリティ関連のIncidentの再発防止策 
 • 個人情報の管理体制の改善
 29

30. ©10X, Inc. All Rights Reserved. Job DescriptionのOpen
 • 「いつか」ではなく「今」セキュリティエンジニアの採 用活動を始めるための一歩


    • 会社が求めるセキュリティ人材を事業から逆算し て言語化する
 • セキュリティエンジニアの採用市場は厳しい、早め 早めに動くのが大事
 30

31. ©10X, Inc. All Rights Reserved. 予防的な施策の検討
 • GCP上のセキュリティリスクを自動検知するサービス導入の検討 
 ◦

    Security Command Center、Elastic Security
 • 個人情報の所在を自動でリスト化するツールの実装 
 • 個人情報の管理体制のToBeデザイン 
 • 外部リソースの活用検討
 31

32. ©10X, Inc. All Rights Reserved. 取り組みの中で見えてきたこと
 • (再掲)SWEの立場でも解決できる問題は多い 
 ◦

    権限整理であれば現状把握からひたすら整理していったり、監査ログを有効にする
 ◦ 個人情報の整理は入口から出口までを洗い出してある程度機械的に保守できる仕組みを考える
 • 早ければ早いほど安い
 ◦ 例えば「サービスの個人情報って社内のどこにあるの？」という問いに答えるためには究極、全情報のチェックが必要
 ◦ これに取り組むのは早ければ早いほどいい、なぜならスコープが小さく済むから
 ◦ この3ヶ月間でチームのSWEには数百存在するBigQueryのdatasetを1つ1つチェックしてもらいました、頭が上がりませ ん
 32

33. ©10X, Inc. All Rights Reserved. 取り組みの中で見えてきたこと
 • 採用活動は中長期で考える必要がある 
 ◦

    SWEと比べると市場にそもそもパイが無い
 ◦ その中からさらにハイレベルなメンバー(Product Securityのロードマップを描けるような人材)となるとさらに厳しい
 ◦ なるべく早く、継続的な活動を始める必要がある
 • 案外、取り組みをスモールにスタートする方法はある 
 ◦ 10XのようにSWEでまずは取り組み始めるのも手だし、調べるとSecurity系のソリューションはかなり多い
 ◦ ただ、どんなサービスも入れたら終わりではなく入れてからの運用や文化づくりが本丸なのでそこにリソースを一定貼 る必要がある
 ◦ Dependabot, Renobate導入 → 誰もmergeせず放置、みたいなのってあるあるデスヨネ
 33

34. ©10X, Inc. All Rights Reserved. 34 Thank you