僕たちは何を守っているのか？ビジネスを守る、ヌーラボのセキュリティ実践

Copyright Nulab Inc. All Rights Reserved. Copyright Nulab Inc. All
Rights Reserved. 僕たちは何を守っているのか？ビジネスを守る、ヌーラボのセキュリティ実践 2025.3.19 ⾺場保幸

Rights Reserved. ⾃⼰紹介 & 会社紹介

Rights Reserved. 株式会社ヌーラボ取締役 CTO ⾺場保幸 Yasuyuki Baba (@babab) 千葉県在住推しのサッカーチームジェフユナイテッド市原‧千葉⾃⼰紹介

Rights Reserved. 会社紹介株式会社ヌーラボ https://nulab.com/ “このチームで⼀緒に仕事できてよかった” を世界中に⽣み出していく。仕事が少しでも楽しくなることを⽬指し、コラボレーションツールを開発‧提供しています。

Rights Reserved. 企業情報設⽴：2004年上場市場：東証グロース上場年⽉⽇：2022年6⽉28⽇従業員数（連結）：159⼈ (2024年3⽉31⽇現在、グループ全体) オフィス：福岡（本社）、東京、京都、ニューヨーク、アムステルダムフルリモートで、オフィスへ出社しても家から仕事をしてもOK

Rights Reserved. ミッション To make creating simple and enjoyable. 創造を易しく楽しくする

Rights Reserved. サービスの紹介

Copyright Nulab Inc. All Rights Reserved. サービスの紹介ヌーラボは Backlog、Cacoo、Nulab Pass
を提供しているSaaSプロバイダーです。

Rights Reserved. 何か新しいものを生み出す人のためのオールインワンコラボレーションツール。 Backlogを使えば、最も重要なことに集中できます。プロジェクト管理、コード管理、バグ追跡など。 https://backlog.com/

Rights Reserved. ワイヤーフレームやフローチャートなどを共同で作成できるオンライン作図ツール。どこからでも図にアクセスできます。 https://cacoo.com/

Rights Reserved. Nulab Passとは、ヌーラボが提供するアプリのセキュリティとガバナンスを、組織全体で一元管理するためのサブスクリプションです。 BacklogやCacooを含むすべてのヌーラボ製品でご利用いただけます。 https://cacoo.com/

Rights Reserved. SaaSプロバイダーである僕たちは何を守っているのか？

Rights Reserved. 守るもの1 顧客

Rights Reserved. SaaSは重要なデータを預かっている SaaSは顧客のデータを預かることで成り⽴っているヌーラボのサービスでも顧客の業務上、重要なデータをお預かりしている

Rights Reserved. たとえば... セキュリティ事故が発⽣して顧客のデータが漏洩 ⇩ 顧客の機密情報が含まれていた ⇩ 顧客の事業に重⼤な問題が発⽣

Rights Reserved. 守るもの2 事業

Rights Reserved. SaaSは継続的に価値を提供している SaaSは継続的に価値を提供することで成り⽴っているヌーラボのサービスでも顧客の⽇々の業務で⽋かせない価値を提供している

Rights Reserved. たとえば... サービスが⻑期間ダウン ⇩ 顧客が仕事をできない ⇩ 顧客からの信頼喪失

Rights Reserved. 守るもの3 社員

Rights Reserved. SaaSは継続的な進化が必要 SaaSは継続的に進化し価値を⾼めていくことが重要ヌーラボのサービスでも優秀な社員が⽇々アップデートを繰り返している

Rights Reserved. たとえば‧‧‧ 社員がフィッシングサイトにパスワードを⼊⼒ ⇩ 悪意を持った外部者がサーバーへのアクセス権を得てしまう ⇩ 情報漏洩

Rights Reserved. 僕たちは何を守るのか？ 1. 顧客 2. 事業 3. 社員

Rights Reserved. それらを脅かすものたち

Rights Reserved. 1. 顧客を脅かす脅威

Rights Reserved. 不正アクセスパスワードリスト攻撃セッションハイジャック

Rights Reserved. データ流出権限設定ミス SQLインジェクション

Rights Reserved. データ消失クラウド障害ユーザーの誤操作悪意のある攻撃

Rights Reserved. 2. 事業を脅かす脅威

Rights Reserved. サービス停⽌バグ‧不具合パフォーマンス劣化ヒューマンエラー

Rights Reserved. サプライチェーン攻撃依存ライブラリの脆弱性サードパーティSaaSの侵害

Rights Reserved. 法規制違反 GDPR/CCPA違反による罰則‧訴訟リスク

Rights Reserved. 3. 社員を脅かす脅威

Rights Reserved. 内部不正‧情報流出アクセス権限の管理ミス退職者アカウントの残存

Rights Reserved. デバイスの紛失‧盗難管理されていないPCやスマホの不正利⽤

Rights Reserved. 社員のセキュリティ意識不⾜パスワードの使い回し社外への連絡時の誤操作フィッシング

Rights Reserved. 守るための戦略へ

Rights Reserved. セキュリティは技術だけではない技術 × プロセス × ⽂化 = 強固なセキュリティどんなに⾼度なシステムを導⼊しても運⽤が適切でなければ意味がない社員⼀⼈ひとりの意識と⾏動が企業全体のセキュリティを左右する

Rights Reserved. 守るための戦略へ

Rights Reserved. サイバー攻撃への対処

Rights Reserved. パスワードリスト攻撃 2020年にパスワードリスト攻撃を受けた

Rights Reserved. 当時の対応ユーザーへの速やかな通知と注意喚起 IDとパスワードの使いまわしによる不正アクセスにご注意ください脆弱なパスワードの登録制限セキュリティ強化のためヌーラボアカウントで脆弱なパスワードは使⽤できなくなります 2段階認証（2FA）の強化より安全にヌーラボアカウントにログインできるようになりました！

Rights Reserved. その後の対応パスキーの導⼊と改善ヌーラボでパスキーを導⼊したって⾔ってるけど、パスキーって何ですか？ヌーラボアカウントのパスキーが使いやすくなりました

Rights Reserved. オープンな姿勢の重要性対応の詳細をオープンに公開（透明性） ⇩ 顧客の不安を最⼩限に抑え ⇩ 顧客からの信頼強化

Rights Reserved. モニタリングとオブザーバビリティ

Rights Reserved. モニタリング (監視) サーバー監視サービス(Mackerel)でシステムを監視異常が⾒つかったらエンジニアへアラート通知

Rights Reserved. モニタリングのため複数のツールを併⽤複数のツールを利⽤

Rights Reserved. モニタリングのためのツール統合

Rights Reserved. オブザーバビリティ (可観測性) モニタリングどこに異常があるかを検知するオブザーバビリティシステム全体を可視化し、情報を分析することで障害が起こる原因を特定する

Rights Reserved. 脆弱性開⽰プログラム

Rights Reserved. 脆弱性開⽰プログラムの確⽴脆弱性開⽰プログラム（Vulnerability Disclosure Program: VDP） ⇩ 脆弱性発⾒者が安全に脆弱性を報告できる窓⼝を設ける制度

Rights Reserved. 脆弱性を報告できる窓⼝の設置外部のホワイトハッカーやセキュリティ研究者は、脆弱性を発⾒すると報告してくれようとする security.txtに窓⼝のURLを記載 VDPのプラットフォームとしてIssueHunt VDPを利⽤

Rights Reserved. security.txt とは？ウェブサイトにセキュリティポリシーやサイトの脆弱性を発⾒したときの連絡先を記載するための標準化された形式 RFC 9116 - A File Format to Aid in Security Vulnerability Disclosure ホワイトハッカーやセキュリティ研究者が脆弱性を発⾒するとまずはこのファイルから報告先を探す

Rights Reserved. • CVSSを⽤いて脆弱性を評価し、トリアージ • 報告者とのコミュニケーション • 開発チームへの報告など、業務フローに従って運⽤している脆弱性の報告を受けたあとは

Rights Reserved. 窓⼝を設置する以前は‧‧‧ • 外部の⼈がサービスの脆弱性を発⾒したものの、適切な報告窓⼝が⾒つからないことで脆弱性が放置された可能性がある • 会社のお問い合わせフォームから脆弱性を報告してくれたものの、サービスに関する様々なお問い合わせと混在して⾒落とし、報告者への返答が遅くなり、意図せず脆弱性が公開されそうになった

Rights Reserved. セキュリティ‧バイ‧デザイン

Rights Reserved. セキュリティ‧バイ‧デザイン (Security by Design ) は内閣サイバーセキュリティセンター(NISC)により「情報セキュリティを企画‧設計段階から確保するための⽅策」として定義されている政府情報システムにおけるセキュリティ‧バイ‧デザインガイドライン（第2版）企画‧設計のフェーズからセキュリティ対策を組み込んでおくことで設計思想や組織⽂化としてセキュリティを根付かせる考え⽅情報セキュリティを企画‧設計段階から確保する

Rights Reserved. CI/CDパイプラインでソースコードの静的解析 CI/CDパイプラインにソースコードの静的解析 (Sonarqube) を組み込みセキュリティ上の問題を引き起こす可能性のある箇所を早期に検出している

Rights Reserved. Sonarqubeが検出してくれる主な問題 • 潜在的なバグ、論理的な誤り • セキュリティ脆弱性 • コードの品質

Rights Reserved. Sonarqubeが検出してくれるセキュリティ脆弱性 • ⼀般的な脆弱性 ◦ SQLインジェクション、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）など、代表的なセキュリティ脆弱性を検出 • OWASP Top 10への対応 ◦ OWASP（Open Web Application Security Project）が公開しているWebアプリケーションの脆弱性ランキング「OWASP Top 10」に対応した検出ルールを備えている • 機密情報の漏洩 ◦ ハードコードされたパスワード、APIキーなど、機密情報がソースコード内に含まれている箇所を検出

Rights Reserved. ⽣成AIによって⽣成されたソースコードの解析 AIによるソースコード⽣成の⼀般化⾃動⽣成されたコードがセキュアであるとは限らない静的解析による脆弱性検出の必要性が⾼まるコードの品質管理とセキュリティを両⽴するための仕組みが求められる

Rights Reserved. セキュリティアウェアネストレーニング

Rights Reserved. セキュリティアウェアネストレーニングとは？組織内の全メンバーを対象に、セキュリティに関する意識や知識、⾏動を向上させるために⾏う教育‧啓発活動のこと技術的な対策だけでなく、社員⼀⼈ひとりが⽇常業務で適切な⾏動を取れるように、リスクや脅威を認識させることが⽬的

Rights Reserved. 扱うテーマ例 • 安全なパスワードの設定⽅法や管理ツールの利⽤促進など、パスワード管理の重要性 • 怪しいメールやリンクの⾒分け⽅、不審なメール受信時の対応⽅法など、フィッシング攻撃対策 • 不正アクセスを狙った⼼理的な攻撃⼿法（なりすまし、電話での誘導など） • 安全なリモートワークの実践のための、公衆Wi-Fi利⽤時の注意点、端末管理、VPN接続の重要性など • 情報漏洩の防⽌のための機密情報や個⼈情報の取り扱いルールと責任 • インシデントを発⾒した際の報告ルートや対応⼿順

Rights Reserved. どうやって実施しているかセキュリオを利⽤することで、ブラウザ上から毎週3問ずつ実施しているその場で答え合わせができ解説も読めるので、少しずつ知識が定着する⼿軽に実施できるので回答率も⾼めセキュリティ意識の向上と⽂化の醸成のため、⾃主性を尊重しつつ参加を奨励している（参加率全社員の60%程度）

Rights Reserved. まとめ

Rights Reserved. まとめ守ることは、攻めることでもある

僕たちは何を守っているのか？ビジネスを守る、ヌーラボのセキュリティ実践

僕たちは何を守っているのか？ビジネスを守る、ヌーラボのセキュリティ実践

More Decks by 株式会社ヌーラボ

Other Decks in Technology

Featured

Transcript