Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivi...
Search
GMO Flatt Security
July 23, 2024
Technology
1
1.2k
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivity Con 2024
開発生産性Conference 2024で執行役員・豊田が株式会社カミナシ セキュリティエンジニアリング・西川様と登壇した際の資料です。
GMO Flatt Security
July 23, 2024
Tweet
Share
More Decks by GMO Flatt Security
See All by GMO Flatt Security
診断AIエージェントによるセキュリティの未来 – 著名OSS向け0-dayリサーチを例に
flatt_security
2
1k
セキュリティ診断AIエージェント「Takumi」の雇用によって実現する開発生産性の向上
flatt_security
0
210
AIエージェントの「作業場」としてのサンドボックス技術
flatt_security
1
40
セキュリティ診断AIエージェント Takumi がもたらす変化 - 著名OSS 向け0-dayリサーチを例に
flatt_security
0
80
「攻め」と「守り」で理解する PHP アプリケーション
flatt_security
1
340
セキュリティ視点からみる生成AIアプリケーションとMCP ~ 脅威とリスク、認可・権限 ~
flatt_security
5
3.6k
脅威をモデリングしてMCPのセキュリティ対策を考えよう
flatt_security
7
3.2k
利用者目線で考える、MCPを安全に使うために
flatt_security
7
2.8k
アプリケーション固有の「ロジックの脆弱性」を防ぐ開発者のためのセキュリティ観点
flatt_security
43
21k
Other Decks in Technology
See All in Technology
Android Audio: Beyond Winning On It
atsushieno
0
850
AI時代を生き抜くエンジニアキャリアの築き方 (AI-Native 時代、エンジニアという道は 「最大の挑戦の場」となる) / Building an Engineering Career to Thrive in the Age of AI (In the AI-Native Era, the Path of Engineering Becomes the Ultimate Arena of Challenge)
jeongjaesoon
0
160
react-callを使ってダイヤログをいろんなとこで再利用しよう!
shinaps
1
240
💡Ruby 川辺で灯すPicoRubyからの光
bash0c7
0
120
まずはマネコンでちゃちゃっと作ってから、それをCDKにしてみよか。
yamada_r
2
110
KotlinConf 2025_イベントレポート
sony
1
140
ブロックテーマ時代における、テーマの CSS について考える Toro_Unit / 2025.09.13 @ Shinshu WordPress Meetup
torounit
0
130
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
nagisa53
10
3.1k
品質視点から考える組織デザイン/Organizational Design from Quality
mii3king
0
210
Generative AI Japan 第一回生成AI実践研究会「AI駆動開発の現在地──ブレイクスルーの鍵を握るのはデータ領域」
shisyu_gaku
0
270
下手な強制、ダメ!絶対! 「ガードレール」を「檻」にさせない"ガバナンス"の取り方とは?
tsukaman
2
450
Agile PBL at New Grads Trainings
kawaguti
PRO
1
440
Featured
See All Featured
Visualization
eitanlees
148
16k
Building Better People: How to give real-time feedback that sticks.
wjessup
368
19k
Music & Morning Musume
bryan
46
6.8k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.1k
The World Runs on Bad Software
bkeepers
PRO
70
11k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.7k
Documentation Writing (for coders)
carmenintech
74
5k
Testing 201, or: Great Expectations
jmmastey
45
7.7k
KATA
mclloyd
32
14k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
The Cult of Friendly URLs
andyhume
79
6.6k
BBQ
matthewcrist
89
9.8k
Transcript
開発生産性をむしろ向上させる セキュリティパートナーの作り方 株式会社Flatt Security 執行役員 豊田 恵二郎 株式会社カミナシ セキュリティエンジニアリング 西川
彰 2024/06/28
豊田 恵二郎 w (株)Flatt Security 執行役員CCV w 東京大学工学部航空宇宙工学科在籍時に共同創i w 96年生まれ、横浜出y
w 1人と2台で暮らしてま w ’88 マツダ FC3S / ’96 ビュイック リーガルワゴン 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
西川 彰 G (株)カミナシ セキュリティエンジニアリンU G (一社)鹿児島県サイバーセキュリティ協議会 代表理Y G AWS
Community Builder, CISS! G 84年生まれ、鎌倉出身(鹿児島県霧島市在住 G 妻と息子(9歳)と猫2匹と暮らしてます 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた サービス提供も可能
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
Mission エンジニアの背中を預かる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
モダンなプロダクト開発組織からの圧倒的支持 セキュリティ診断提供実績(一部) 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 皆さんの会社で、プロダクトセキュリティを 担うエンジニアは足りていますか?
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない 内製で何に対処すべきか、 どの部分を外部パートナーに委託するか といったリソース配置を適切に行わなければならない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 本日のイベントのタイトルを覚えている方〜?
None
開発生産性 vs セキュリティ 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要 = 本日の参加者層的には... エンジニアファーストな セキュリティサービス
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 この2つのポイントを抑えて実現する 「むしろ開発生産性を向上させるセキュリティ」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” のミッション プロダクトセキュリティの 「開発組織全体にセキュリティの意識や知識が根付 いており、 」を目指す
イネーブルメンx セキュリティエンジニア以外もセキュリ ティの実践に関して自律的な意思決定ができる状 態
自動でライトがつく 無灯火を知らせる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” の具体的取り組み t リスクマトリクスの作k t 社内セキュリティ競技会の開j t セキュリティニュースの配f
t 各チームとセキュリティに関する定w アドバイスや相y 他チームのインシデントの共a 総じて情報の横展開を意識
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかしここで身も蓋もない事を言うと... イネーブルメントに動ける西川さんのような です シニアセキュリティ人材がいなければ このような内製の取り組みは難しい
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 セキュリティエンジニア採用の難易度は格段に高く 多くの組織で人材が不足 外部パートナーを頼ることがプライオリティの高い選択肢に なってくるのではないでしょうか (カミナシさんですら外部の力を借りる)
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
1 2 3 https://blog.flatt.tech/entry/security_assessment_vs_bugbounty
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかし、外部パートナー選定こそ という観点が必要(内製は後からでも舵を取り直すことができるので) 「自社にフィットしたソリューションを選定し、開発生産性 を下げず、いやむしろ向上させるような取り組み」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニアファーストなセキュリティ外部委託
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニア・開発組織に最適化されたセキュリティサービスは少ない コーポレート部門 セキュリティサービスを提供 従来の多くの セキュリティ企業 エンドポイント保護、ネットワーク防御、 情報セキュリティ研修、アイデンティティ管理... プロダクト・ソフトウェア開発に携わる人
最適化されたセキュリティサービスを提供 ソフトウェア産業の拡大とともにニーズが 増えているにも関わらず、最適化された サービス提供が少ない
エンジニア ファーストな セキュリティ 外部委託 コミュニケー ションで 寄り添う 技術で 寄り添う 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 コミュニケー ションで 寄り添う HowだけでなくWhat・Whyをサポートする z わかりやすいリスク・対策の解i z 脆弱性再現方法のJavaScript
PoCを提w z 事後的な検査だけでなく、上流工程でのコンサル ティングを提供
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “診断実施”をゴールにしないコミュニケーション 取締役CTO 原さん:Flatt Securityさんは最初から「『カミナシ』をよりセ キュアにするにはどのようにすべきか」という点に重きを置いてコミュニケー ションを取ってくださったので、伴走力の強さを感じました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “課題解決”に向き合うオンボーディング 取締役CTO/CISO 田島さん:製品導入のレクチャーに留まらず、週次のミー ティング等を通じて運用課題の整理や運用体制構築に対するアドバイスをいた だけるという内容で非常に魅力的でした。プログラムの内容も画一的ではな く、一緒に課題解決に向けて動いてもらえそうな印象を受けました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 技術で 寄り添う 開発の要素技術・フェーズ・サイクル等 の制約をクリアする サーバーレスな環境に対して最適な診断手法を提案 してくれ
自動診断と手動診断の使い分けができ DevOpsサイクルに組み込んだ運用やシフトレフトが 実現可能
再掲 2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた
サービス提供も可能 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 認証・認可・決済など重要 なビジネスロジックの機能 も検査したい 手動診断でなければ 対処できない 大きなコードベースの変更 を控えているのに数百万円 かけて手動診断を実施する
手動診断は現実的ではない が高コスパ 自動診断
まとめ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ内製の心得 u セキュリティは力を持っているからこそ u 開発者は常に生産性をいかに上げられるかを考え て、そこに向き合っているはず。そのような気持ち にいかに寄り添うことができるか、 が求められる
生産性を奪 いかねなo 力を持っている からこその振る舞い
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ外部委託の心得 v 内製と同様、開発生産性を奪わないために であることが大y v そのために の2点を持つパートナーを見つけたい エンジニ
アファースト (1)コミュニケーションで寄り添う (2)技 術で寄り添う