Upgrade to Pro — share decks privately, control downloads, hide ads and more …

プロダクトセキュリティのはじめ方 in 10X 2022.11.14

10xinc
November 15, 2022
Technology
1
2.8k

プロダクトセキュリティのはじめ方 in 10X 2022.11.14

Ubie × 10X「スタートアップにおけるプロダクトセキュリティのはじめ方」
プロダクトセキュリティって具体的に何から始めればいいの?というあなたへ
https://10x.connpass.com/event/265135/

資料内リンク
10X セキュリティチームが立ち上がってから半年以上経過しました
https://product.10x.co.jp/entry/2022/09/02/180000

ジョブディスクリプション セキュリティエンジニア(Product Security)
https://open.talentio.com/r/1/c/10x/pages/62864

10xinc

November 15, 2022
Tweet

More Decks by 10xinc

See All by 10xinc
データマネジメントを支える武器としてのメタデータ管理
10xinc
4
4.8k
Elementaryを用いたデータ品質の可視化とデータ基盤の運用改善
10xinc
7
5.4k
テストの完了をゴールにしない! ~仮説検証を繰り返し、開発・QA・ユーザーが交流しながら開発することで見えてくる理想の姿~ - #RSGT2024 #DevSumi / Shift left and Shift right
10xinc
10
5.9k
株式会社10X - Culture Deck
10xinc
83
1.3M
Dataplexとdbt-osmosisを活用した「がんばらない」データカタログとメタデータ管理の運用(Data Engineering Study #22)
10xinc
2
4.7k
スタートアップにおけるデータマネジメントの始め方の事例紹介(datatech-jp Casual Talks #5)
10xinc
5
4.3k
データプロダクトとは何か
10xinc
6
4.8k
Security Team at 10X inc / セキュリティチームの今@開発共有会
10xinc
1
100
セキュリティチームの話 2023夏@Product Friday
10xinc
1
370

Other Decks in Technology

See All in Technology
JSON攻略法.pdf
miyakemito
8
5k
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
680
ChatGPT for IT Service Management (IT Pro)
dahatake
7
1.6k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
5
510
MapLibreとAmazon Location Service
dayjournal
1
150
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.4k
Postman v10リリース後を振り返る / Looking back at Postman v10 after release
yokawasa
1
160
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
250
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
190
現代CSSフレームワークの内部実装とその仕組み
poteboy
7
3.6k

Featured

See All Featured
How GitHub (no longer) Works
holman
304
140k
The Invisible Customer
myddelton
114
12k
A Modern Web Designer's Workflow
chriscoyier
689
190k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
659
120k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
In The Pink: A Labor of Love
frogandcode
138
21k
GitHub's CSS Performance
jonrohan
1025
450k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
221
21k
Clear Off the Table
cherdarchuk
84
310k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
19
1.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k

Transcript

  1. ©10X, Inc. All Rights Reserved. プロダクトセキュリティのはじめ方 in 10X Ubie ×

    10X「スタートアップにおけるプロダクトセキュリティのはじめ方」2022.11.14 swdyh

  2. ©10X, Inc. All Rights Reserved. 自己紹介
 ◦ swdyh (さわだようへい)
 ◦

    株式会社10X 
 ◦ ソフトウェアエンジニア (2018から)
 ◦ 社員規模: 入社時4名、現在90名くらい
 ◦ リライアビリティ&セキュリティ部
 ◦ Stailerのプロダクトセキュリティを担当(2022から)
 ◦ サーバサイドの開発も一部兼任
 


  3. ©10X, Inc. All Rights Reserved.

  4. ©10X, Inc. All Rights Reserved.

  5. ©10X, Inc. All Rights Reserved. 10Xのプロダクトセキュリティのはじまり
 ◦ 最初のプロダクトは献立アプリ(タベリー、終了済)
 ◦ Stailerへピボット


    ◦ Stailerのはじめのころはモバイルアプリのみ
 ◦ バックエンドもつくりはじめて運用がはじまり、配送先などの重要な情報を扱うよ うになる
 ◦ 事業成長しはじめる。リリース優先
 ◦ セキュリティまわりのことは後回しになりがち
 ◦ B to B to C。C向けアプリを提供しつつもB向けのセキュリティ要件が求められる


  6. ©10X, Inc. All Rights Reserved. 10Xのプロダクトセキュリティはじまり
 ◦ 課題感を感じたソフトウェアエンジニアでチームをつくる
 ◦ 詳細ブログ記事

    10X セキュリティチームが立ち上がってから半年以上経 過しました
 ◦ ソフトウェアエンジニア2名かつ兼任体制でチームをつくる
 ◦ チームという箱があると、そこに欠けているものがあることが分かりやすい。 課題や相談ごとが集まってくる。
 ◦ でもセキュリティ専門家はいない、いないなりにやろう
 


  7. ©10X, Inc. All Rights Reserved. セキュリティチームの取り組み その1
 ◦ GCP, GitHubなどの各種権限整理。


    ◦ Terrafromでのコード化
 ◦ 日々変わる業務に合わせた権限を整備していくのむずかしい
 ◦ プロダクトで扱っている個人情報の整理、監査ログの整備
 ◦ 個人情報をどこで扱ってどこで保管してるか
 ◦ DB, GCP, BigQuery, Log, Elasticsearch, API, 外部システム連携
 ◦ パートナー企業からの問い合わせ対応
 ◦ 回答、問答集などドキュメント整備


  8. ©10X, Inc. All Rights Reserved. セキュリティチームの取り組み その2
 ◦ 脆弱性診断。
 ◦

    スコープ決め、依頼、問題の把握、修正のハンドリングまで
 ◦ 不正アクセス対処
 ◦ まだ少ない。APIに呼び出し制限 + モニタリング
 ◦ セキュリティに関わる機能の設計レビュー
 ◦ セキュリティ的よくないものができてしまうのを防ぐ、できてしまって から直すのは大変


  9. ©10X, Inc. All Rights Reserved. ソフトウェアエンジニアでなんとかなるか?
 ◦ 今のところなんとかなっている
 ◦ ただ、思ってたよりやること多くて大変


    ◦ 機能開発を優先してたので荒れ地というか未開拓
 ◦ あたりまえにやるべきことがいろいろある
 ◦ SREチームやCorpITチームが頼りになる
 ◦ ソフトウェアエンジニアであることの強みもある


  10. ©10X, Inc. All Rights Reserved. ソフトウェアエンジニアであることの強み
 ◦ システムやコードの理解
 ◦ 大事な情報やりとりしてる箇所やロジックを把握してる、把握しや

    すい
 ◦ 脆弱性
 ◦ 自分たちのシステムにとって、どれくらいやばいか、どうなおすべき か判断しやすい
 ◦ 開発効率と制限(権限とか)と、開発者目線でバランスとれる
 ◦ 仕組みで解決しやすい


  11. ©10X, Inc. All Rights Reserved. 仕組みで解決の例
 ◦ 個人情報のリスト化
 ◦ 最初はスプレッドシートに書き出してくのをやったが継続できなかった


    ◦ コードのデータモデル(Dart)やrpcの定義ファイル(proto)にアノテーションしてお き、そこからリスト化する仕組みをつくった。
 
 /// お客様氏名(姓) @SensitiveData.pii() String familyName = ''; ↑Dartのコード例
 コードを読み込みCSVを出力。個人情報のリスト管理や、BigQueryなどにコピーすると きのフィルターに利用予定


  12. ©10X, Inc. All Rights Reserved. これからやりたいこと
 ◦ セキュリティリスクの探索、予防 
 ◦

    外部の診断会社に頼り切らない、自分たちでやれることを増やす 
 ◦ シフトレフト。設計レビュー、コードレビュー、機能提案 
 ◦ 認証強化。2FA、WebAuthNなど 
 ◦ 静的解析(コードスキャン、Lintなど) 
 ◦ メイン言語がDart、コードスキャナ対応してない。比較的Linterはつくりやすい 
 ◦ 個人情報保護強化。権限設定、DLP(Data Loss Prevention)、PolicyAsCode(いまは人間がレ ビューしてる)
 ◦ セキュリティ専門家との連携 (あたりまえにやるべきことから専門性が必要なことへ) 
 ◦ ロードマップの作成


  13. ©10X, Inc. All Rights Reserved. スタートアップにおけるプロダクトセキュリティのはじめ方
 ◦ スタートアップ初期はプロダクトの機能に注力する
 ◦ セキュリティを意識をむけないといけなくなる


    ◦ いつから、だれが、どうやるか、答えがない
 ◦ 事業内容、扱うデータの内容、事業の成長具合
 ◦ プロダクトの方向性が固まり、成長にフォーカスしはじめるとき
 ◦ 人数もふえる、プロダクトも大きくなる、そのへんがひとつの区切りかも
 ◦ 10Xではソフトウェアエンジニアがやってる。ひとつのやりかた
 ◦ これからもいろいろ模索していきたいので、知見を共有していきましょう


  14. ©10X, Inc. All Rights Reserved. こんな環境に興味のある方ぜひ
 
 
 ◦ 10Xは事業が成長してきて、ちょうどセキュリティの重要度が高まってきておもしろい

    フェーズ。活躍できる余白もたくさん。
 ◦ 再掲ブログ記事(再掲): 10X セキュリティチームが立ち上がってから半年以上経過しま した
 ◦ ジョブディスクリプション
 ◦ セキュリティエンジニア(Product Security)
 ◦ ソフトウェアエンジニア(Product Security Ops)
 ▪ 近々公開
 ◦ 感想やフィードバックなどもぜひ