プロダクトセキュリティチームの立ち上げ

はじめまして。セキュリティエンジニアの奥野（@okuken3）です。
弊社では2018年12月にプロダクトセキュリティチームを立ち上げ、脆弱性診断の一部内製化を中心とした各種セキュリティ施策に取り組んでいます。

本ブログ上でも、プロダクトセキュリティチームの取り組みについて定期的に発信していきますので、お楽しみいただければと思います！

なお、弊社におけるプロダクトセキュリティチームとは、「ウエディングパーク」をはじめとする弊社が開発運営しているWebサービス群のセキュリティを推進するチームになります。
ですので、これからセキュリティに本腰を入れようと考えているアプリケーションエンジニアの方や、セキュリティベンダーでWeb脆弱性診断担当をされていてユーザー企業の具体的な取り組みを知りたい/アドバイスしてあげたい方などに、参考にしていただければ嬉しく思います。

さて、定期発信の初回テーマですが、ずばり「プロダクトセキュリティチームの立ち上げ」です。
チーム立ち上げの経緯から始め、どのようにロードマップを描いて走り出したのかについて、当時を振り返りつつご紹介します。

経緯

弊社では、会社規模の拡大に合わせてディフェンス面の強化が叫ばれていました。
プロダクトセキュリティについても、技術責任者が兼務したり親会社に頼ったりする状況から脱却すべく、セキュリティに注力できる人材の確保をはじめていました。
弊社が求めたセキュリティエンジニアは、単に脆弱性診断ができるセキュリティ専門家のイメージではなく、プロダクトセキュリティチームの立ち上げを任せられ、かつカルチャーマッチするエンジニアでした。
そんな中、縁あって2018年12月に私、奥野が入社し、それと同時にプロダクトセキュリティチームを立ち上げました。

しかし、奥野はセキュリティエンジニアとしては完全なる卵だったのです。

常識を知る

情報系の修士卒、社会に出てから10年ほどITエンジニアをしてきましたが、ことセキュリティに関してはずぶの素人。
そんな私が最初に行ったのは、セキュリティの常識を知ることでした。

社内では、「プロダクトセキュリティチームはゼロイチなので大変でしょう？」とよく言われました。
もちろん社内では初の取り組みですが、世間を見渡せばいくらでも事例がありますし、公的機関等が発行している資料も豊富です。
それらを吸収し、後ろ盾としつつ、効果的な施策を実施していこうと考えました。

主要な資料取得元

• IPA 独立行政法人 情報処理推進機構：情報セキュリティ
• NPO日本ネットワークセキュリティ協会
• OWASP Japan
• JPCERT コーディネーションセンター

それと同時に、セキュリティ関連書籍を読み漁りつつ、セキュリティと名の付く社外勉強会に片っ端から参加することで、セキュリティエンジニアとしてのベース作りや潮流の把握を進めました。
なお、セキュリティ系勉強会は大小様々ありますが、初心者向けの小規模勉強会では講師や他の参加者との距離が近く、勉強会終わりで飲みに行くことも多いため密度の濃いコミュニケーションがとり易く、個人的な相談もし易いです。反対に、玄人も対象とした中規模以上の勉強会では、界隈の著名人によるレクチャーや最先端の話題を聞くことができ、目指すべき方向性を確認するのに役立ちます。

ご参考まで、奥野が2019年1月～9月に参加した勉強会のうち、主要なものを記載します。(日付順)

• WASNight 2019 Kick-Off = OWASP x WASForum Night
• 第24回 ゼロから始めるセキュリティ入門 勉強会
• Burp Suite Japan LT Carnival
• (ISC)² Night Tokyo
• 第22回 セキュリティ共有勉強会
• enjoy!インハウス #03｜エンジニア主体のチーム立ち上げ(技術責任者/QA/セキュリティ)【登壇】
• Vuls祭り#5【登壇】
• WASNight 2019 Summer = OWASP x WASForum Night【登壇】
• Security JAWS 第14回 勉強会
• 第53回 ゆるいハッキング大会 in TOKYO

ロードマップの作成

入社時に技術責任者から受けたリクエストは、脆弱性診断の一部内製化と、脆弱性情報の収集でした。
それらを満たすのはもちろんですが、プロダクトセキュリティチームを立ち上げて活動していく上で、中長期的なロードマップが欲しくなりました。

ロードマップの作成に当っては、ISMS(Information Security Management System)の考え方や、下記の資料を参考にしました。
セキュリティというと「防御」「検知」のイメージが強いですが、サイバーセキュリティフレームワークでいうところの「特定」「対応」の部分の重要さを改めて認識し、優先度を勘案した上でロードマップに組み込みました。

主要な参考資料

• 重要インフラのサイバーセキュリティを改善するためのフレームワーク（セキュリティ関連NIST文書：IPA 独立行政法人 情報処理推進機構）
• CISO ハンドブック（CISO支援WG） | NPO日本ネットワークセキュリティ協会
• サイバーセキュリティ経営ガイドライン（METI/経済産業省）

初版のロードマップを作成した後も、実際に取り組んでみて得た知見や、各種セキュリティ系セミナーの内容、勉強会で知り合ったセキュリティ専門家の方々からの影響を受けつつ、軌道修正しながら進めています。

そして、プロダクトセキュリティチームが走り出した

ロードマップの役員決裁も無事に終え、プロダクトセキュリティチームが走り出しました！

セキュリティ初心者からのスタートで、得も言われぬプレッシャーとの闘いではありましたが、その分フレッシュな気持ちで全身全霊をかけて取り組むことができ、個人的にはとても充実した日々を送ることができました。

さて、そんなプロダクトセキュリティチームが立ち上げから約10ヶ月で行ってきたことですが、主要トピックスベースで下記になります。

• 脆弱性診断の一部内製化
• 脆弱性情報収集基盤の構築、情報連携体制の整備
• 新卒向けプロダクトセキュリティ研修の実施
• セキュアコーディングガイドの作成
• リスクアセスメント

次回以降の投稿では、各々のトピックについて掘り下げてご紹介したいと考えています。
もちろん、これらの運用を継続しつつ新たな施策も打ち続けますので、そちらの内容も追々ご紹介していれけばと思います。

次回予告

次回のプロダクトセキュリティチームからの投稿は、「脆弱性診断の一部内製化（仮）」を予定しています！乞うご期待！