プロダクトセキュリティチームの立ち上げ

  • このエントリーをはてなブックマークに追加
  • Pocket

はじめまして。セキュリティエンジニアの奥野(@okuken3)です。
弊社では2018年12月にプロダクトセキュリティチームを立ち上げ、脆弱性診断の一部内製化を中心とした各種セキュリティ施策に取り組んでいます。

本ブログ上でも、プロダクトセキュリティチームの取り組みについて定期的に発信していきますので、お楽しみいただければと思います!

なお、弊社におけるプロダクトセキュリティチームとは、「ウエディングパーク」をはじめとする弊社が開発運営しているWebサービス群のセキュリティを推進するチームになります。
ですので、これからセキュリティに本腰を入れようと考えているアプリケーションエンジニアの方や、セキュリティベンダーでWeb脆弱性診断担当をされていてユーザー企業の具体的な取り組みを知りたい/アドバイスしてあげたい方などに、参考にしていただければ嬉しく思います。

さて、定期発信の初回テーマですが、ずばり「プロダクトセキュリティチームの立ち上げ」です。
チーム立ち上げの経緯から始め、どのようにロードマップを描いて走り出したのかについて、当時を振り返りつつご紹介します。

経緯

弊社では、会社規模の拡大に合わせてディフェンス面の強化が叫ばれていました。
プロダクトセキュリティについても、技術責任者が兼務したり親会社に頼ったりする状況から脱却すべく、セキュリティに注力できる人材の確保をはじめていました。
弊社が求めたセキュリティエンジニアは、単に脆弱性診断ができるセキュリティ専門家のイメージではなく、プロダクトセキュリティチームの立ち上げを任せられ、かつカルチャーマッチするエンジニアでした。
そんな中、縁あって2018年12月に私、奥野が入社し、それと同時にプロダクトセキュリティチームを立ち上げました。

しかし、奥野はセキュリティエンジニアとしては完全なる卵だったのです。

常識を知る

情報系の修士卒、社会に出てから10年ほどITエンジニアをしてきましたが、ことセキュリティに関してはずぶの素人。
そんな私が最初に行ったのは、セキュリティの常識を知ることでした。

社内では、「プロダクトセキュリティチームはゼロイチなので大変でしょう?」とよく言われました。
もちろん社内では初の取り組みですが、世間を見渡せばいくらでも事例がありますし、公的機関等が発行している資料も豊富です。
それらを吸収し、後ろ盾としつつ、効果的な施策を実施していこうと考えました。

主要な資料取得元

それと同時に、セキュリティ関連書籍を読み漁りつつ、セキュリティと名の付く社外勉強会に片っ端から参加することで、セキュリティエンジニアとしてのベース作りや潮流の把握を進めました。
なお、セキュリティ系勉強会は大小様々ありますが、初心者向けの小規模勉強会では講師や他の参加者との距離が近く、勉強会終わりで飲みに行くことも多いため密度の濃いコミュニケーションがとり易く、個人的な相談もし易いです。反対に、玄人も対象とした中規模以上の勉強会では、界隈の著名人によるレクチャーや最先端の話題を聞くことができ、目指すべき方向性を確認するのに役立ちます。

ご参考まで、奥野が2019年1月~9月に参加した勉強会のうち、主要なものを記載します。(日付順)

ロードマップの作成

入社時に技術責任者から受けたリクエストは、脆弱性診断の一部内製化と、脆弱性情報の収集でした。
それらを満たすのはもちろんですが、プロダクトセキュリティチームを立ち上げて活動していく上で、中長期的なロードマップが欲しくなりました。

ロードマップの作成に当っては、ISMS(Information Security Management System)の考え方や、下記の資料を参考にしました。
セキュリティというと「防御」「検知」のイメージが強いですが、サイバーセキュリティフレームワークでいうところの「特定」「対応」の部分の重要さを改めて認識し、優先度を勘案した上でロードマップに組み込みました。

主要な参考資料

初版のロードマップを作成した後も、実際に取り組んでみて得た知見や、各種セキュリティ系セミナーの内容、勉強会で知り合ったセキュリティ専門家の方々からの影響を受けつつ、軌道修正しながら進めています。

そして、プロダクトセキュリティチームが走り出した

ロードマップの役員決裁も無事に終え、プロダクトセキュリティチームが走り出しました!

セキュリティ初心者からのスタートで、得も言われぬプレッシャーとの闘いではありましたが、その分フレッシュな気持ちで全身全霊をかけて取り組むことができ、個人的にはとても充実した日々を送ることができました。

さて、そんなプロダクトセキュリティチームが立ち上げから約10ヶ月で行ってきたことですが、主要トピックスベースで下記になります。

  • 脆弱性診断の一部内製化
  • 脆弱性情報収集基盤の構築、情報連携体制の整備
  • 新卒向けプロダクトセキュリティ研修の実施
  • セキュアコーディングガイドの作成
  • リスクアセスメント

次回以降の投稿では、各々のトピックについて掘り下げてご紹介したいと考えています。
もちろん、これらの運用を継続しつつ新たな施策も打ち続けますので、そちらの内容も追々ご紹介していれけばと思います。

次回予告

次回のプロダクトセキュリティチームからの投稿は、「脆弱性診断の一部内製化(仮)」を予定しています!乞うご期待!

  • このエントリーをはてなブックマークに追加
  • Pocket

SNSでもご購読できます。