Upgrade to Pro — share decks privately, control downloads, hide ads and more …

僕たちは何を守っているのか?ビジネスを守る、ヌーラボのセキュリティ実践

 僕たちは何を守っているのか?ビジネスを守る、ヌーラボのセキュリティ実践

株式会社ヌーラボ

March 31, 2025
Tweet

More Decks by 株式会社ヌーラボ

Other Decks in Technology

Transcript

  1. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 僕たちは何を守っているのか? ビジネスを守る、ヌーラボのセキュリティ実践 2025.3.19 ⾺場保幸
  2. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. ⾃⼰紹介 & 会社紹介
  3. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 株式会社ヌーラボ 取締役 CTO ⾺場 保幸 Yasuyuki Baba (@babab) 千葉県在住 推しのサッカーチーム ジェフユナイテッド市原‧千葉 ⾃⼰紹介
  4. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 会社紹介 株式会社ヌーラボ https://nulab.com/ “このチームで⼀緒に仕事できてよかった” を世界中に⽣み出していく。 仕事が少しでも楽しくなることを⽬指し、 コラボレーションツールを開発‧提供しています。
  5. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 企業情報 設⽴:2004年 上場市場:東証グロース 上場年⽉⽇:2022年6⽉28⽇ 従業員数(連結):159⼈ (2024年3⽉31⽇現在、グループ全体) オフィス:福岡(本社)、東京、京都、ニューヨーク、アムステルダム フルリモートで、オフィスへ出社しても家から仕事をしてもOK
  6. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. ミッション To make creating simple and enjoyable. 創造を易しく 楽しくする
  7. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 何か新しいものを生み出す人のためのオー ルインワンコラボレーションツール。 Backlogを使えば、最も重要なことに集中で きます。 プロジェクト管理、コード管理、バグ追跡な ど。 https://backlog.com/
  8. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. ワイヤーフレームやフローチャートなどを共 同で作成できるオンライン作図ツール。 どこからでも図にアクセスできます。 https://cacoo.com/
  9. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. Nulab Passとは、ヌーラボが提供するアプ リのセキュリティとガバナンスを、組織全体 で一元管理するためのサブスクリプションで す。 BacklogやCacooを含むすべてのヌーラボ 製品でご利用いただけます。 https://cacoo.com/
  10. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. SaaSプロバイダーである僕たちは 何を 守っているのか?
  11. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. SaaSは重要なデータを預かっている SaaSは顧客のデータを預かることで成り⽴っている ヌーラボのサービスでも 顧客の業務上、重要なデータをお預かりしている
  12. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. たとえば... セキュリティ事故が発⽣して顧客のデータが漏洩 ⇩ 顧客の機密情報が含まれていた ⇩ 顧客の事業に重⼤な問題が発⽣
  13. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. SaaSは継続的に価値を提供している SaaSは継続的に価値を提供することで成り⽴っている ヌーラボのサービスでも 顧客の⽇々の業務で⽋かせない価値を提供している
  14. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. たとえば... サービスが⻑期間ダウン ⇩ 顧客が仕事をできない ⇩ 顧客からの信頼喪失
  15. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. SaaSは継続的な進化が必要 SaaSは継続的に進化し価値を⾼めていくことが重要 ヌーラボのサービスでも 優秀な社員が⽇々アップデートを繰り返している
  16. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. たとえば‧‧‧ 社員がフィッシングサイトにパスワードを⼊⼒ ⇩ 悪意を持った外部者がサーバーへのアクセス権を得てしまう ⇩ 情報漏洩
  17. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 僕たちは何を守るのか? 1. 顧客 2. 事業 3. 社員
  18. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. それらを脅かすものたち
  19. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 1. 顧客を脅かす脅威
  20. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 不正アクセス パスワードリスト攻撃 セッションハイジャック
  21. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. データ流出 権限設定ミス SQLインジェクション
  22. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. データ消失 クラウド障害 ユーザーの誤操作 悪意のある攻撃
  23. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 2. 事業を脅かす脅威
  24. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. サービス停⽌ バグ‧不具合 パフォーマンス劣化 ヒューマンエラー
  25. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. サプライチェーン攻撃 依存ライブラリの脆弱性 サードパーティSaaSの侵害
  26. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 法規制違反 GDPR/CCPA違反による罰則‧訴訟リスク
  27. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 3. 社員を脅かす脅威
  28. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 内部不正‧情報流出 アクセス権限の管理ミス 退職者アカウントの残存
  29. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. デバイスの紛失‧盗難 管理されていないPCやスマホの不正利⽤
  30. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 社員のセキュリティ意識不⾜ パスワードの使い回し 社外への連絡時の誤操作 フィッシング
  31. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 守るための戦略へ
  32. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. セキュリティは技術だけではない 技術 × プロセス × ⽂化 = 強固なセキュリティ どんなに⾼度なシステムを導⼊しても 運⽤が適切でなければ意味がない 社員⼀⼈ひとりの意識と⾏動が 企業全体のセキュリティを左右する
  33. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 守るための戦略へ
  34. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. サイバー攻撃への対処
  35. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. パスワードリスト攻撃 2020年にパスワードリスト攻撃を受けた
  36. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 当時の対応 ユーザーへの速やかな通知と注意喚起 IDとパスワードの使いまわしによる不正アクセスにご注意ください 脆弱なパスワードの登録制限 セキュリティ強化のためヌーラボアカウントで脆弱なパスワードは使⽤できなくなります 2段階認証(2FA)の強化 より安全にヌーラボアカウントにログインできるようになりました!
  37. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. その後の対応 パスキーの導⼊と改善 ヌーラボでパスキーを導⼊したって⾔ってるけど、パスキーって何ですか? ヌーラボアカウントのパスキーが使いやすくなりました
  38. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. オープンな姿勢の重要性 対応の詳細をオープンに公開(透明性) ⇩ 顧客の不安を最⼩限に抑え ⇩ 顧客からの信頼強化
  39. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. モニタリングとオブザーバビリティ
  40. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. モニタリング (監視) サーバー監視サービス(Mackerel)でシステムを監視 異常が⾒つかったらエンジニアへアラート通知
  41. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. モニタリングのため複数のツールを併⽤ 複数のツールを利⽤
  42. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. モニタリングのためのツール統合
  43. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. オブザーバビリティ (可観測性) モニタリング どこに異常があるかを検知する オブザーバビリティ システム全体を可視化し、情報を分析することで障害が起こる原因を特定する
  44. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 脆弱性開⽰プログラム
  45. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 脆弱性開⽰プログラムの確⽴ 脆弱性開⽰プログラム (Vulnerability Disclosure Program: VDP) ⇩ 脆弱性発⾒者が安全に脆弱性を報告できる窓⼝を設ける制度
  46. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 脆弱性を報告できる窓⼝の設置 外部のホワイトハッカーやセキュリティ研究者は、 脆弱性を発⾒すると報告してくれようとする security.txtに窓⼝のURLを記載 VDPのプラットフォームとしてIssueHunt VDPを利⽤
  47. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. security.txt とは? ウェブサイトにセキュリティポリシーやサイトの脆弱性を発⾒したときの 連絡先を記載するための標準化された形式 RFC 9116 - A File Format to Aid in Security Vulnerability Disclosure ホワイトハッカーやセキュリティ研究者が脆弱性を発⾒すると まずはこのファイルから報告先を探す
  48. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. • CVSSを⽤いて脆弱性を評価し、トリアージ • 報告者とのコミュニケーション • 開発チームへの報告 など、業務フローに従って運⽤している 脆弱性の報告を受けたあとは
  49. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 窓⼝を設置する以前は‧‧‧ • 外部の⼈がサービスの脆弱性を発⾒したものの、適切な報告窓⼝が⾒つから ないことで脆弱性が放置された可能性がある • 会社のお問い合わせフォームから脆弱性を報告してくれたものの、サービス に関する様々なお問い合わせと混在して⾒落とし、報告者への返答が遅くな り、意図せず脆弱性が公開されそうになった
  50. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. セキュリティ‧バイ‧デザイン
  51. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. セキュリティ‧バイ‧デザイン (Security by Design ) は内閣サイバーセキュリ ティセンター(NISC)により「情報セキュリティを企画‧設計段階から確保するた めの⽅策」として定義されている 政府情報システムにおけるセキュリティ‧バイ‧デザインガイドライン(第2版) 企画‧設計のフェーズからセキュリティ対策を組み込んでおくことで 設計思想や組織⽂化としてセキュリティを根付かせる考え⽅ 情報セキュリティを企画‧設計段階から確保する
  52. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. CI/CDパイプラインでソースコードの静的解析 CI/CDパイプラインにソースコードの静的解析 (Sonarqube) を組み込み セキュリティ上の問題を引き起こす可能性のある箇所を早期に検出している
  53. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. Sonarqubeが検出してくれる主な問題 • 潜在的なバグ、論理的な誤り • セキュリティ脆弱性 • コードの品質
  54. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. Sonarqubeが検出してくれるセキュリティ脆弱性 • ⼀般的な脆弱性 ◦ SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエスト フォージェリ(CSRF)など、代表的なセキュリティ脆弱性を検出 • OWASP Top 10への対応 ◦ OWASP(Open Web Application Security Project)が公開しているWebアプリケーションの 脆弱性ランキング「OWASP Top 10」に対応した検出ルールを備えている • 機密情報の漏洩 ◦ ハードコードされたパスワード、APIキーなど、機密情報がソースコード内に含まれている箇 所を検出
  55. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. ⽣成AIによって⽣成されたソースコードの解析 AIによるソースコード⽣成の⼀般化 ⾃動⽣成されたコードがセキュアであるとは限らない 静的解析による脆弱性検出の必要性が⾼まる コードの品質管理とセキュリティを両⽴するための仕組みが求められる
  56. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. セキュリティアウェアネストレーニング
  57. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. セキュリティアウェアネストレーニングとは? 組織内の全メンバーを対象に、 セキュリティに関する意識や知識、⾏動を向上させる ために⾏う教育‧啓発活動のこと 技術的な対策だけでなく、社員⼀⼈ひとりが ⽇常業務で適切な⾏動を取れるように、 リスクや脅威を認識させることが⽬的
  58. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. 扱うテーマ例 • 安全なパスワードの設定⽅法や管理ツールの利⽤促進など、パスワード管理 の重要性 • 怪しいメールやリンクの⾒分け⽅、不審なメール受信時の対応⽅法など、 フィッシング攻撃対策 • 不正アクセスを狙った⼼理的な攻撃⼿法(なりすまし、電話での誘導など) • 安全なリモートワークの実践のための、公衆Wi-Fi利⽤時の注意点、端末管 理、VPN接続の重要性など • 情報漏洩の防⽌のための機密情報や個⼈情報の取り扱いルールと責任 • インシデントを発⾒した際の報告ルートや対応⼿順
  59. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. どうやって実施しているか セキュリオを利⽤することで、ブラウザ上から毎週3問ずつ実施している その場で答え合わせができ解説も読めるので、少しずつ知識が定着する ⼿軽に実施できるので回答率も⾼め セキュリティ意識の向上と⽂化の醸成のため、 ⾃主性を尊重しつつ参加を奨励している (参加率 全社員の60%程度)
  60. Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All

    Rights Reserved. まとめ 守ることは、攻めることでもある