Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Ubieにおけるセキュリティ課題管理の自動化 / ubie-sec-issue-automation
Search
Masayoshi Mizutani
July 26, 2023
Technology
1.1k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Ubieにおけるセキュリティ課題管理の自動化 / ubie-sec-issue-automation
Masayoshi Mizutani
July 26, 2023
More Decks by Masayoshi Mizutani
See All by Masayoshi Mizutani
生成AIの利用とセキュリティ /gen-ai-and-security
mizutani
1
2.2k
システム・サービス運用におけるセキュリティ監視の近代的アプローチ /advnet2025-modern-secmon
mizutani
0
130
Deep Security Conference 2025:生成AI時代のセキュリティ監視 /dsc2025-genai-secmon
mizutani
9
6.1k
MCPの基礎とUbieにおける活用事例 /ubie-mcp
mizutani
4
3.1k
クラウドセキュリティのベストプラクティスと実装例 /cloudsec-bestpractice-example
mizutani
9
3.3k
汎用ポリシー言語Rego + OPAと認可・検証事例の紹介 / Introduction Rego & OPA for authorization and validation
mizutani
2
1.2k
Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego
mizutani
7
5k
リモートワークを支える 社内セキュリティ基盤の構築と運用 /secueiry-for-wfh
mizutani
0
820
SOARによるセキュリティ監視業務の効率化とSecOps /soar-and-secops
mizutani
1
1.2k
Other Decks in Technology
See All in Technology
金融の未来を考える / Thinking About the Future of Finance
ks91
PRO
0
150
完全自律ロボットを作りたくて、先に開発を自律させた話(ROS Japan UG #63 LT)
rryz09
0
310
ゼロをイチにする仕事が終わったあと
smasato
0
310
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
370
どうして今サーバーサイドKotlinを選択したのか
nealle
0
200
しぶいSRE: サーバから見えない障害にどう向き合うか。ラストワンマイルのデバッグ実践 / Shibui SRE
kanny
10
2.9k
初めてのDatabricks勉強会
taka_aki
2
240
事業価値を⽣み出すSREへ SREが担うべき意思決定の5層
kenta_hi
1
510
AWS Blocks を触ってみた/first-tach-aws-blocks
fossamagna
2
140
CSに"SLO"は要らない、経営層に"99.9%"は伝わらない - SREを全社に"翻訳"する3原則
cscengineer
PRO
0
2.2k
FinOps X 2026 Recap from Engineer Side #JapanFinOps
chacco38
0
260
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
1.7k
Featured
See All Featured
Technical Leadership for Architectural Decision Making
baasie
3
430
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
6k
[SF Ruby Conf 2025] Rails X
palkan
2
1.1k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
460
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.7k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
340
Design in an AI World
tapps
1
260
WCS-LA-2024
lcolladotor
0
670
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
230
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
Game over? The fight for quality and originality in the time of robots
wayneb77
1
220
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
Transcript
Ubieにおけるセキュリティ課題管理の自動化 Ubie株式会社 水谷正慶 (@m_mizutani) Product Security Casual Talks #1 自動化
2 自己紹介 水谷 正慶 Ph.D. (Media and Governance)。大学時代は侵入 検知システムやマルウェア対策に関する研究に取 り組む。日本IBMにて基礎研究所・SOCに勤務
(2011年~)クックパッドにてセキュリティエンジニア (2017年~)Ubie株式会社にてセキュリティエンジニ ア(2021年~) @m_mizutani
3 @Ubie,Inc. 自分の症状を答えるだけで、 参考病名や近くの医療機関等 「受診の手がかり」が調べられる 医療現場で実際に使われ鍛えられたAIを、生活者が適切な 医療にかかる目安として開放しています (2020年春〜) 無料で 誰でも
いつでも ほぼ全ての症状で* *99% (1.3万超)の症状に対応 Ubieのプロダクト (1/2)
4 @Ubie,Inc. 問診業務効率化や認知向上など、 患者さんとのコミュニケーション設計を通じ、 診察の質向上を支援する医療機関向けサービス 病院・クリニックそれぞれのニーズに合わせた以下のような 機能を提供・開発しています ユビーAI問診 ユビーリンク ホームページAI相談窓口
etc… Ubieのプロダクト (2/2)
5 セキュリティ課題とはなんのことか • (今回は)プロダクトセキュリティに関連するリスクのこと ◦ アプリケーションとしての脆弱性 ◦ 実行環境における脅威 ◦ インフラ設定の不備
• 様々なきっかけで新たに課題が生まれ、継続的に検出する必要がある ◦ 新しい脆弱性が発見される ◦ プロダクトが攻撃をうける ◦ インフラの設定を変える
6 セキュリティ課題管理の自動化 検出 管理 解決 どこに課題(リスク)があ るかを探し出す 検出された課題をどのよ うに処理するのか判断し たり状態を記録する
問題がない 状態に修正する かなり 自動化できる まあまあ 自動化できる 筋肉 (手動) ここをなるべく自動化する
7 Ubieにおけるプロダクトセキュリティ関連自動化の現状 検出 管理 解決 プロダクト 実行環境の監視 ソースコード・ パッケージ脆弱性 クラウド環境の
設定不備 SCC (Security Command Center) Snyk Shisho Cloud (アーリーアクセス版) 手動 AlertChain (内製SOARツール) 手動 手動
8 Security Command Center + AlertChain プロダクト実行環境の監視 VMの監視 Pub/Sub SCC
Cloud Run GitHub AlertChain(SOARツール)で通知先やア サインの制御、補足情報の取得など Issue上で対応状況の管理・記録 https://github.com/m-mizutani/alertchain
9 Snykによるリポジトリの監視 ソースコード、パッケージ脆弱性 • ソースコードのリポジトリをスキャンし脆弱性の検出と対応状況管理 ◦ 修正しない場合にも理由を記録可能
10 Shisho Cloud(アーリーアクセス版)によるGoogle CloudやGitHubの監視 クラウド環境の設定不備 • 不適切な可能性のある設定を検出し、修正方法の提案や対応状況管理ができる • Regoによるポリシーの記述やワークフロー制御も可能
続きはパネルディスカッションで! …and we are hiring!! https://recruit.ubie.life/jd_dev/security_engineer