Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

脆弱性診断の内製化と外注

Misaki Makino
September 08, 2023

 脆弱性診断の内製化と外注

2023/09/07 Cyber-sec+ MeetUp vol.1
で発表した内容です。

Misaki Makino

September 08, 2023
Tweet

More Decks by Misaki Makino

Other Decks in Programming

Transcript

  1. 自己紹介 名前 経歴 牧野 美咲(Misaki Makino) • 2017/04 某IT企業 新卒入社 •

    2017/06 プロダクト開発部 開発エンジニア • 2019/07 セキュリティ室 セキュリティエンジニア ◦ 未経験からスタート ◦ 脆弱性診断、規程作りを主に担当 • 2023/03 株式会社3Sunny セキュリティ何でも屋 ◦ 会社noteでセキュリティマガジン始めました \ Follow Me! /
  2. 内製化の歩み 2019年 (異動直後) 先輩が1人在籍 ←こんな感じ 脆弱性を報告して も是正されない 日々... 2023年 (退職直前)

    脆弱性診断士4人 チームに! 放置される脆弱性 がゼロに! 4年間でどのように内製化していったのでしょうか?
  3. 脆弱性診断スタイルが異なる ベンダーA • 診断は1~2名が専任 • APIベースで診断 • レポートとして脆弱性共有 ベンダーB •

    診断士の人数は不明 • バグバウンティで自由に診断 • 専用のサイトで脆弱性共有
  4. 脆弱性診断の流れの比較 診断前MTG 診断準備 診断実施 レポート 作成と提出 診断後MTG 是正確認 内製 診断前MTG

    診断準備 サポート 診断実施 サポート レポート 作成と提出 診断後MTG 是正確認 外注 外注では、ベンダーが準備や実施をうまくできない時に、 開発部に確認してサポートします
  5. 良かったこと 大変だったこと 内製 外注 良かったこと 大変だったこと • 臨機応変にスポット診断ができる • コミュニケーションコストが低い

    • 診断時間を他の業務に使える • 計画通りに進められる • 採用コストがかかる • 計画通りに進まない • 外注コストがかかる • コミュニケーションコストが高い
  6. 内製でも外注でも 診断前MTG 診断準備 診断実施 レポート 作成と提出 診断後MTG 是正確認 内製 診断前MTG

    診断準備 サポート 診断実施 サポート レポート 作成と提出 診断後MTG 是正確認 外注 診断後MTGが最重要だと思っています!
  7. 質問10 内製と外注を同時進行しているのでしょうか? 同じ脆弱性診断を外注に頼んで 内製でも実施しているのか 外注していない製品を内製で実施しているのかがわ からず、、 お手数ですがご教授のほどよろしくお願いいたします。 また、も し、外注と内製で同じ脆弱性診断を同時に実施している場合、何かメリットが ありましたらご教授をお願いします。

    ご質問ありがとうございました😊 内製と外注を同時進行していました!たくさんのプロダクトがございましたの で、プロダクトAの定期診断は外注、プロダクトBの定期診断は内製、といった 使い分けをしておりました。同じ診断を同時に実施したことはございません。 Q. A.