プロダクトセキュリティ部の西川(id:cw-nishikawa)です。 最近、膝が痛いので歳を感じます。ストレッチして痛みを和らげているところです。
さてさて、プロダクトセキュリティ部は今、Chatwork社としてセキュリティをどのように考えていくか というところの方向性を決定していくフェーズに来ています。
現状の課題として、セキュリティに費用をかけすぎているのか、逆にかけなさすぎているのか、明確な基準がなく妥当性がわからない、というものがあります。
つまり、会社としてセキュリティをどう捉え、どのくらい力をかけていくか、という方針がありません。その方針を決定し、方針に従ってセキュリティ施策を進めたほうが経営と現場双方の納得感が生まれ動きやすくなるのではないか?と考えました。
部内での話し合い
セキュリティの方針を作成し経営陣に納得してもらうために、まず私たちは何をしたらよいだろうか?ということを部内で話し合いました。 実際頭を抱えました。自分達が今持っている材料で経営者を納得させることができるであろうかと。
自分達で考えてわからないのであれば、同じようなSaaSを提供している企業にヒアリングをして、セキュリティへの取り組みをどのように考えているかや、セキュリティの予算についてどのように考えているか、セキュリティの人員はどれぐらいいるのが適切なのかというのをどのように定義しているか、その他諸々聞いてみよう!という話になりました。 そこで話を聞いてみたい企業をピックアップして、さらにその中から知り合いがいる企業で絞り、2社にお声がけしました。
ヒアリング
正直な話をすると、お声がけしたところで相手にはメリットがほとんどないので、こういった話に乗ってきてくれるかどうかかなり不安でしたが、 意外にも気軽にOKをいただき、情報交換会という名の私たちのお悩み相談会を開催することができました。
実際にお話を伺えたのは、クックパッド社 と サイボウズ社 のセキュリティ担当者の方々です。
クックパッド社
まず始めにクックパッド社にお話を伺いました。
私の中ではクックパッドといえばレシピ!(お世話になっております)ももちろんそうですが、とにかく技術力が非常に高い!というイメージが強いです。 私自身はセキュリティの競技であるHardening Project | Web Application Security Forumに出るたびに、クックパッドの方の技術力の高さを実感させられていました。 実際お話を伺ってみたところ、面白い取り組みもたくさん聞かせていただくことができ、有意義な時間を過ごすことができました。
サイボウズ社
次にお声がけをしたのはサイボウズ社です。 サイボウズもとても技術力が高いし、セキュリティは進んでいるし、バグバウンティも弊社に比べてたくさんお金を支払って先進的な取り組みをされていて、まさに理想系!と思っていまして、 実際にお話伺ってみて、すごい!としか言葉が出てこないぐらいすごかったです(これは私の語彙力がないだけとは思いたくない 笑)
あまりにも勢いがありすぎて、「Chatworkに足りないのは勢いかもしれない」とプロダクトセキュリティ部のマネージャーが言うほどでした。
実際の相談内容
いただいた回答に関しては差し控えますが、Chatwork側が具体的には下記のような質問をさせていただきました。
CSIRT/PSIRTどう組織していますか?
脆弱性診断について、外注している?良いベンダーは?内製化はしている?
予算の考え方
人員の考え方
その他諸々
逆にこちらからは
プロダクトセキュリティ部と他の部署との役割分担について
AWS周りのセキュリティについて
監査通知の仕組み
などをお話ししました。
今回はお話ししませんでしたが、その他にも脆弱性管理や、Chatworkではバグバウンティの運営を行なっているので、その有効性や運用のコツなども共有することが可能です。
SaaSの情報交換会
そういったお話の中で、サイボウズ社から 「こういう取り組みをされているのは、おそらくChatworkさんだけで、Chatworkさんだけ知見を集めるのはずるい(意訳)」 というようなお話がありました。すみません、半分嘘です(笑)
本当はもっとポジティブに 「こういう情報をSaaS事業者で共有していったらみんなハッピーですよね」 というお言葉をいただきまして、SaaS事業者でそういう場を設けていきましょう!という話になりました。 私個人としては大賛成で、日頃からセキュリティは情報共有が大事と思っているので、そういう機会があるのは嬉しいです。
まとめ
ということで、サイボウズ社、Chatworkと一緒に情報共有してくださるSaaS事業者を募集しています。 一緒にSaaSのセキュリティを向上していきましょう!
お気軽にTwitterなどで @nishikawaakira までご連絡ください。お待ちしております!
また、気軽に相談にのっていただいたクックパッド社ならびにサイボウズ社には心より感謝申し上げます。
プロダクトセキュリティ部では一緒に働いてくれる仲間を募集しています! hrmos.co