Chatwork Creator's Note

ビジネスチャット「Chatwork」のエンジニアとデザイナーのブログです。

ビジネスチャット「Chatwork」のエンジニアとデザイナーのブログです。

読者になる

プロダクトセキュリティ部を作ったお話

こんにちは。プロダクト本部で副本部長をしてます、田中(id: tan-yuki)です。ウマ娘に課金をする一歩手前まで来ています。

今日は「プロダクトセキュリティ部」という部署を設立しました、という背景や活動について書いていきたいと思います。

いままでのセキュリティへの取り組みについて

Chatworkではユーザー規模の増加、プロダクトの成長に伴い、セキュリティに関する活動を継続的に続けてきました。Chatworkのセキュリティに関する情報は下記にまとまっています。

go.chatwork.com

また、2017年からはバグバウンティを運営しており、ホワイトハッカーから届く報告のトリアージ作業、認定した脆弱性への対応を日々おこなっています。

creators-note.chatwork.com

セキュリティに関する課題感

上記のような活動を通じ、組織・プロダクトのセキュリティの向上に努めていましたが、一方で以下のような課題もありました。

課題1) セキュリティ専門のチームがなく、セキュリティに関するアクションが片手間になってしまう

セキュリティに関しては各チームで脆弱性情報の収集、ライブラリのバージョンアップ対応をしてもらっています。一方、各チームはやるべき機能開発、バグ修正があるなかでセキュリティに関する対応をしてもらっている状況です。そのため、セキュリティに関する対応はどうしても片手間にならざるをえません。このような状況では脆弱性に関するアクションが遅れてしまう懸念がありました。

課題2) プロダクトに関してのセキュリティの細かい取り決めが曖昧な状態のため、各エンジニアで判断に困ってしまうことが多い

例えば、あるプロジェクトで新しくあるデータを保管したい、というときに「そのデータはどういった形で保存すればいいのか?閲覧権限はどこまで制限するべきか?暗号化するべきか?」といった細かな取り決めが曖昧な状態でした。そういった判断はプロジェクトのたびに都度PMや関係者で相談をしながら判断する形となっていました。

そのため、度々同じような質問が発生したりと、コミュニケーションコストが高くつくことが多かったです。 こういったガイドラインを設定するにも、専任のメンバーがいなく、曖昧な状態が続いていました。

 

上記のような懸念事項の解決策の一つとして、プロダクト専門のセキュリティ部隊を発足しました。当初は私一人だったのですが、幸せなことに、参加したいと手を挙げるメンバーもいて、2人で細々と活動をしていました。

そして、2021年の4月、チームメンバーが3人になったところでようやく「プロダクトセキュリティ部」として、部になりました。

プロダクトセキュリティ部の役割

プロダクトセキュリティ部は主にプロダクト開発に関連するセキュリティ向上の施策を計画し、実行に移すチームと定義しています。全社的な業務フローのセキュリティ向上施策は別の部署が担当していますが、そのチームでは手薄になっていたプロダクト開発の部分を担当する形です。

具体的には以下のような施策を実施していく予定です。

  • 管理するプロダクト内の脆弱性検知の仕組み構築
  • 定期的なセキュリティスキャン計画
  • プロダクト開発に関するセキュリティ指針の作成
  • バグバウンティ運営
  • セキュリティインシデント対応フロー構築(PSIRTの立ち上げ)
  • etc...

上記のような活動を通じ、プロダクトのセキュリティ向上に努めるチームとして立ち上がりました。

プロダクトセキュリティ部での活動内容

現在までには以下のようなことを対応してきました。

  • バグバウンティプログラムの運営フローの再構築、運営業務
  • セキュリティコンサルの契約、定期的なセキュリティ相談MTGの開催
  • セキュリティヒアリングを通じた全体のセキュリティ評価
  • プロダクト全体のセキュリティスキャンの実施
  • 脆弱性収集フローの構築
  • プロダクト開発におけるセキュリティガイドラインの作成(仕掛中)

組織として動きづらかった横断的なセキュリティ施策をチームで対応できるようになってきました。 組織としての業務が徐々に回ってきていると実感しています。

いままでは課題ベースの活動が中心でしたが、これからは経営戦略やプロダクト本部としてのミッションからプロダクトセキュリティ部がやるべきことに落とし込んでいきたいと考えています。

まとめ

プロダクトセキュリティ部では、プロダクトのセキュリティ向上をメインミッションとして活動をしてきました。今後も我々の活動を通じて、ユーザーに安心して使っていただけるようなプロダクトを目指していきたいです。

しかし、いままでセキュリティに関する活動が手薄だった分、やりたいことが山積みの状態です。現在のプロダクトセキュリティのメンバーが3名と、やりたいことに対して全然人が足りない状態が続いています。私も副本部長業務と兼務してプロダクトセキュリティ部のマネージャ業務をやっている関係で、完全に集中できている状態とは言えません。今後、このプロダクトセキュリティ部の体制を強化することが急務だと認識しています。

・・・ということで、Chatworkでは一緒にプロダクトのセキュリティ向上に取り組んでいただけるようなエンジニア、またはマネージャを募集中です!エントリーお待ちしております!

recruit.chatwork.com