Security Team at 10X inc / セキュリティチームの今@開発共有会

©10X, Inc. All Rights Reserved. • @sota1235 • 隙間に落ちるボールを拾っては落としての日々を送っています🥎
• 好きな脆弱性はXSSです初めましての方は初めまして  2

©10X, Inc. All Rights Reserved. About セキュリティチーム  • 立て付けとしてはDevelopment Platform配下のSubTeam
  • 2022/01から存在  • Mission: Stailerで扱う全ての情報、システムが安全であることを目指す     4

©10X, Inc. All Rights Reserved. Members  5 @swdyh SubTeam leader
@sota1235 (0.5人) ＋ Reliability Teamのヘルプ 🙏 Corp IT Teamのサポート🙏

©10X, Inc. All Rights Reserved. 本日のお品書き  1. なぜセキュリティチームを作ったのか  2. これまでの取り組みをご紹介 
3. セキュリティチームのこれから  6

©10X, Inc. All Rights Reserved. 主な理由は2つ  1. Think 10xした結果、必要だと考えたから  2.
セキュリティチームという箱が存在することが重要だから  8

©10X, Inc. All Rights Reserved. Stailerにおけるセキュリティの重要性  • StailerはいわゆるB to B
to Cモデルの事業と言える   • そのためto C、to Bの両面でセキュリティに向き合っていく必要がある   10

©10X, Inc. All Rights Reserved. to C領域におけるセキュリティ  • いわゆる一般的なECサイトに求められるようなセキュリティ品質が求められる  
• 「決済情報は適切に守られてほしい」   • 「預けた住所や氏名はきちんと守ってほしい」   • 「アカウントが乗っ取られないようなセキュリティ機構を提供してほしい」   • 等々…  11

©10X, Inc. All Rights Reserved. ECサイトは攻撃者の格好の的  • 攻撃者視点だとクレカ情報か個人情報どちらかでも抜ければ大きなリターン   •
直接攻撃はできずとも間接的にECサイトとしての機能を悪用される例もある   • サービスの規模が大きくなっていくと攻撃されるのは避けられない     12

©10X, Inc. All Rights Reserved. to B領域におけるセキュリティ  • Stailerにおいてはto Cの領域でセキュリティ品質が担保できていることを説明する必要がある
  • エンタープライズを始め、Stailerの利用が想定される企業が求めるセキュリティ要件にどう答えていくかが事業上、重要になる  13

©10X, Inc. All Rights Reserved. Stailerのセキュリティ品質にどう向き合うか  • 正直、2022/1の当時に大きなセキュリティIssueが顕在化していたかと言われるとNo   •
チームを作らず、Task Force的にリソースを調整してCriticalなIssueに対応したり、SREチームが兼務する形を取る、という選択肢もあった   • が、兼務や一時的なリソースアサインは関心領域が限定的になってしまったり、取り組みがきちんと続いていかないリスクもあった   • Stailerの事業計画＝これからのサービス拡大とパートナー増加を考えるとSmallでもいいから早めに取り組みを始めるべきと判断した   14

©10X, Inc. All Rights Reserved. 当時の予想＆実際のFact  • セキュリティ品質の改善は地道でひたすらリスクの芽を整理して潰していくことが求められる足
の長い取り組み  ◦ そしておそらくこの取り組みはサービスが成長し続ける限り一生終わることがない  • チームの組成があと3か月 ~ 半年遅かったら今よりもっと後手に回っている状況だった   • 10Xの場合はセキュリティの専門家がいないという大きなハンデもあったので先手を打てたのはよかった  15

©10X, Inc. All Rights Reserved. チームが社内にある重要性  • セキュリティチームが社内にあることでStailerの大小さまざまなセキュリティIssueが1箇所に集約される  •
1箇所に集約し、Ownershipを持つことで「Stailerのセキュリティってどうなってるの」を整理、言語化することができる  • 実際にIssueを集めて何が顕在化しているIssueなのかや、明らかにできていないIssue(Known Unknowns)を知ることができた  17

©10X, Inc. All Rights Reserved. Issueの棚卸し  • 当時時点で存在したGitHub Issuesの中からセキュリティにまつわるIssueにラベリングをしていきました 
• 現在はGitHub Project上で全てのIssueが管理されています   19

©10X, Inc. All Rights Reserved. まだまだ地道に解決していくフェーズ ⛰  • あらゆるものがそうですが、作ったものを直すコストの方が圧倒的に高いようにセキュリティにおいても動いてるものからリスクを洗い出すのが大変です
  • 例えば個人情報だとStailerはデータの入口がお客さまだけでなく、企業からも来るので地道に整理していく必要があります  • また、権限整理もみなさんの業務に影響がでないように権限をコツコツ絞っていく作業が必要です  23

©10X, Inc. All Rights Reserved. セキュリティチームのあるべき姿  • セキュリティのトレードオフを理解した上で意思決定する   ◦
セキュリティレベルを上げれば上げるほど、基本的には開発が遅くなったり開発メンバーの体験を損なう  ◦ このトレードオフをいかにいいポイントに落とせるかがセキュリティチームの腕の見せ所  ◦ 「権限を絞りたいセキュリティチーム」vs「効率よく開発したい開発チーム」のような構図は絶対に起きないようにしたい  • 常に先手を打ち続ける  ◦ 例えばパートナーが増える→問い合わせに頑張って対応する、ではなくある程度予見できるIssueに対して先手を売って開発や事業のスピードを緩めずに済むように攻める  26

©10X, Inc. All Rights Reserved. あるべき姿を目指すために  • まぁ予想はつくと思いますが採用が急務となってます…   •
採用すべきは2軸  • 1. セキュリティの専門家を採用する   ◦ セキュリティエンジニア（Product Security）   • 2. (WIP)セキュリティもできるSWEを採用する   ◦ 現在のメンバーのように開発を理解しながらセキュリティIssueを探索する動きのできるメンバーの採用も検討しています    27

Security Team at 10X inc / セキュリティチームの今@開発共有会

Security Team at 10X inc / セキュリティチームの今@開発共有会

10xinc

More Decks by 10xinc

Featured

Transcript

©10X, Inc. All Rights Reserved. セキュリティチームの今  2022/08/31 開発共有会@オンライン 1

©10X, Inc. All Rights Reserved. • @sota1235 • 隙間に落ちるボールを拾っては落としての日々を送っています🥎

©10X, Inc. All Rights Reserved. 3 今日はセキュリティチームの話をします

©10X, Inc. All Rights Reserved. About セキュリティチーム  • 立て付けとしてはDevelopment Platform配下のSubTeam

©10X, Inc. All Rights Reserved. Members  5 @swdyh SubTeam leader

©10X, Inc. All Rights Reserved. 本日のお品書き  1. なぜセキュリティチームを作ったのか  2. これまでの取り組みをご紹介

©10X, Inc. All Rights Reserved. 7 〜その時歴史は動いた〜なぜセキュリティチームを作ったのか

©10X, Inc. All Rights Reserved. 主な理由は2つ  1. Think 10xした結果、必要だと考えたから  2.

©10X, Inc. All Rights Reserved. 主な理由は2つ  1. Think 10xした結果、必要だと考えたから  2.

©10X, Inc. All Rights Reserved. Stailerにおけるセキュリティの重要性  • StailerはいわゆるB to B

©10X, Inc. All Rights Reserved. to C領域におけるセキュリティ  • いわゆる一般的なECサイトに求められるようなセキュリティ品質が求められる

©10X, Inc. All Rights Reserved. ECサイトは攻撃者の格好の的  • 攻撃者視点だとクレカ情報か個人情報どちらかでも抜ければ大きなリターン   •

©10X, Inc. All Rights Reserved. to B領域におけるセキュリティ  • Stailerにおいてはto Cの領域でセキュリティ品質が担保できていることを説明する必要がある

©10X, Inc. All Rights Reserved. Stailerのセキュリティ品質にどう向き合うか  • 正直、2022/1の当時に大きなセキュリティIssueが顕在化していたかと言われるとNo   •

©10X, Inc. All Rights Reserved. 当時の予想＆実際のFact  • セキュリティ品質の改善は地道でひたすらリスクの芽を整理して潰していくことが求められる足

©10X, Inc. All Rights Reserved. 主な理由は2つ  1. Think 10xした結果、必要だと考えたから  2.

©10X, Inc. All Rights Reserved. チームが社内にある重要性  • セキュリティチームが社内にあることでStailerの大小さまざまなセキュリティIssueが1箇所に集約される  •

©10X, Inc. All Rights Reserved. 18 〜チームメイトには頭が上がりません…〜これまでの取り組みを紹介

©10X, Inc. All Rights Reserved. Issueの棚卸し  • 当時時点で存在したGitHub Issuesの中からセキュリティにまつわるIssueにラベリングをしていきました

©10X, Inc. All Rights Reserved. オンデマンドで発生するセキュリティIssueの対応  • パートナーからの要望に応えるためのセキュリティ対応   ◦

©10X, Inc. All Rights Reserved. 顕在化しているIssueのうちリスクの高いものへの対応  • GCP権限の整理  ◦ 昔は開発者全員、Owner権限を持っている時代もありました。知ってましたか？

©10X, Inc. All Rights Reserved. 予防的な施策の検討  • GCP上のセキュリティリスクを自動検知するサービス導入の検討   •

©10X, Inc. All Rights Reserved. 24 〜Stailerがセキュリティ品質を維持したまま10xするために〜セキュリティチームのこれから

©10X, Inc. All Rights Reserved. セキュリティチームのこれから  • 顕在化しているIssueの解決  ◦ 既に判明しているリスクの解消

©10X, Inc. All Rights Reserved. セキュリティチームのあるべき姿  • セキュリティのトレードオフを理解した上で意思決定する   ◦

©10X, Inc. All Rights Reserved. あるべき姿を目指すために  • まぁ予想はつくと思いますが採用が急務となってます…   •

©10X, Inc. All Rights Reserved. 28 Thank you