セキュリティ系部署にジョインした3人の24新卒のメンバー、北村、JJ、まさきちがそれぞれの1年目を振り返ります。サイボウズにおいては、PSIRTとセキュリティ室の2つのセキュリティ系部署があり、北村、JJがPSIRT、まさきちがセキュリティ室に所属しています。
PSIRTとは
サイボウズ製品のセキュリティ品質向上を目的として活動している部署です。
製品の脆弱性診断はもちろん、設計に対する支援や利用しているOSSの管理、製品起因のインシデントハンドリングなど、セキュリティ品質を高めるべくあらゆる課題に日々取り組んでいます。
セキュリティ室とは
セキュリティに関する専門知識に基づき、各事業部で行うセキュリティ施策に対する支援を行う部署です。
主な業務内容としては、インシデント対応やセキュリティ情報収集、外部機関との連携、ISMAP/ISMS/SOC2/クラウド認証制度の運用、セキュリティ教育/訓練、セキュリティに関する相談窓口対応などです。
北村(PSIRT)
自己紹介
普段は kintone やモバイルアプリのセキュリティ対応に従事しており、PSIRT として組織改善にも取り組んでいます。
やったこと
細かいものも含めると多岐にわたりますが、大きくは以下の2点です。
- 社内CTFの開催
- セキュリティチャンピオンの導入・運用
社内CTFの開催
弊社には開運祭りという開発に関わる職種の方々がオフラインで集まり交流を深めるイベントが年に2回行われます。その中で毎年様々な職能でLT会などが行われるのですが、開運祭りのコンテンツとして社内CTFをPSIRTで実施する案があり、CTF運営経験者のJJと僕がメインとなり実施しました。
学生時代にCTFを取り組んでおり作問経験もあったことから、PSIRTとしては初の実施になるもののCTFの開催自体は特に不安なく進めることができました。ただ、どういう人をターゲットにして何を持ち帰ってもらいたいか、の部分では最後まで達成できるか不安でした。 初めての取り組みにかかわらず、背中を教えてくださったPSIRTメンバーには頭が上がりません。
詳細はブログにも記載していますので、興味がある方はぜひご覧ください。
セキュリティチャンピオンに関わる取り組み
開発本部では、ユーザーに価値をいち早く届けるためにリリースの高速化に取り組んできました。しかし、実装された機能のセキュリティ品質を担保する必要がある一方で、脆弱性診断はリリース速度に影響を及ぼす可能性があります。そこで開発チーム自身がセキュリティに目を向けられる体制を整えることで、より最適なセキュリティ対策の実現を目指しています。こうしたセキュリティ意識を醸成する手段としてセキュリティチャンピオンに注目し、PSIRTとして本格的に導入を進めています。現在は一部チームに展開し、サイボウズのチャンピオンに則った活動を開始した段階です。
短期的に成果が見えづらい取り組みにはなりますが、関係者と合意を得ながら進める経験は非常に貴重でした。
参考) https://owasp.org/www-project-security-culture/v10/4-Security_Champions/
1年目を振り返って
7月の配属から半年、多くのプロジェクトに関わり、大変学びの多い期間でした。入社前はキャッチアップ中心かと思っていましたが、新規取り組みにも積極的にチャレンジできたことが、自身の成長につながったと感じています。
PSIRTに入ってみて
弊社は事業会社の中でも早くからセキュリティに注力しており、入社してすぐに他部署との役割分担やこれまでの背景がしっかり整備されていることを実感しました。
一方で、組織が大きくなるほど変化も求められますが、その変化を恐れず、対話や議論を重ねながら組織全体で最適解を模索・推進できる点は、非常に素晴らしいと感じています。
JJ(PSIRT)
自己紹介
PSIRTのJJです。
製品の脆弱性診断やクラウドサービスの脅威分析に関連する業務を行っています。 学生時代は、OAuthやOpenID Connectのセキュリティに関する研究をやっていました。
ランニングやスーパー銭湯巡りが趣味です ♨️。
やったこと
LLMアプリの脆弱性診断と手法のドキュメント化
PSIRT配属直後に、LLMアプリの脆弱性診断を行うことになりました。チーム内でLLMアプリの知見や観点がまとまっていない状態だったため、まずはOWASP Top 10 for LLM ApplicationsやWeb Security Academyなどを用いて診断手法についてのインプットを行いました。実際に脆弱性診断を完了した後、その際に得た知見をもとに、他のメンバーが診断で活用できるように自然言語の攻撃ペイロード表や診断観点についてまとめたドキュメントを作成しました。この取り組みについては去年のOWASP Kansai DayのLTで少しお話しさせていただいています(資料)。
社内での脅威モデリングワークショップの実施
サイボウズが提供するクラウドサービス全体のリスクを認識する目的で、社内で脅威モデリングの導入が進められています。その普及活動の一環として、オンラインで脅威モデリングワークショップを実施しました。「A社が自社のファイル共有サービスを介して取引先のB社にファイルを共有する」というシナリオのもとで、参加者の方々にはファイル共有サービスとファイル共有のフローを対象に脅威を洗い出し、議論していただきました。
参加者の方々の中には脆弱性や攻撃手法に対して深い知見がある方も多く、充実したワークショップとなりました。
Prompt Hardenerの開発
LLMアプリの脆弱性診断を行う傍ら、LLMアプリに対するプロンプトインジェクション攻撃を緩和する目的でシステムプロンプトの堅牢化ツールを開発していました。去年の秋ごろに開発を始め、CODE BLUE 2024内のワークショップであるCyber TAMAGOでツールの発表を行いました(参考)。Prompt HardenerはLLMやられアプリ「BrokenChatbot」の防御モードで利用していただいていたり、ブログで紹介していただいたりしています。最近も性能向上やUX改善のためのアップデートを重ねているのでよければチェックしてみてください。
1年目を振り返って
PSIRTでのセキュリティエンジニアとしての1年間はあっという間に過ぎ去っていきました。
脆弱性診断やソフトウェアの構成管理、外部のバグハンターからの脆弱性報告の対応などプロダクトセキュリティの基本的な業務に加えて、脅威分析やツール開発などの業務にも取り組めたことが良い経験になりました。また、社内の勉強会や外部イベントで複数回発表の機会を持て、定期的なアウトプットも行えたのが良かったです。
PSIRTに入ってみて
PSIRTではプロダクトセキュリティの基本的な業務だけに追われることなく、脅威分析やツール開発といったその他の業務にも取り組める体制が整っており、大変ありがたく思っています。また、PSIRT内では他のメンバーとフラットにコミュニケーションを取ることができ、製品チームとコミュニケーションを取る場面においてもセキュリティに対して前向きな方々が多くとても助かっています。
まさきち(セキュリティ室)
自己紹介
セキュリティ室のまさきちです。 ISO27001・ISO27017などの第三者認証取得やISMAP登録に係る業務をしています。 学生時代には、情報セキュリティに関する基礎的な理論から応用的な技術まで、幅広く学んでいました。
やったこと
- 第三者認証取得業務
- 具体的な業務内容
- リスクアセスメント
- 内部監査
- 監査機関とのコミュニケーション
- 具体的な業務内容
- ISMAP登録業務
- 具体的な業務内容
- 監査証跡収集
- DC監査対応
- 監査機関とのコミュニケーション
- 具体的な業務内容
- セキュリティチェック
- 具体的な業務内容
- 利用するクラウドサービスの確認
- 事業者のセキュリティ対策状況の確認
- 具体的な業務内容
1年目を振り返って
昨年まではCy-PSIRTに所属し、各プロダクトや開発フローの理解を深めるとともに、開発チームやメンバーの把握に努めていました。
今年の1月からセキュリティ室に異動し、現在は業務全体のキャッチアップに加え、ISO27001・ISO27017やISMAPといった各種規格の理解にも取り組んでいます。
今後は、セキュリティ室の業務全体を俯瞰しながら、自身のできることを広げ、積極的に新たな挑戦をしていきたいと考えています。
セキュリティ室に入ってみて
認証取得業務のような専門性の高い業務を、社会人1年目から経験できるのは非常に貴重であり、大変ありがたく感じています。本来このようなポジションは新卒採用ではあまり用意されていないことが多いため、貴重な機会をいただけたことに感謝しています。
実際の業務では、証跡収集などを通じて運用・開発メンバーとのやり取りが多く、コミュニケーションの重要性を強く実感しています。そのため、社内の開発・運用環境やチーム構成、各メンバーの役割などをしっかり把握することが、スムーズな業務遂行に直結すると感じています。
また、セキュリティ室内では勉強会が開催されているほか、メンバーに気軽に質問や相談ができる環境が整っています。こうした点からも、非常に学びの多い、成長しやすい環境だと感じています。
おわりに
1年目に引き続き、2年目も頑張っていきます!
Cy-PSIRTでは一緒に働く仲間を募集中です!ご興味のある方は以下をご覧ください。
