サイボウズの新卒社会人ことびきニキ(@BkNkbot)です。弊社では開発研修コンテンツの一つに「気になる部署の体験に行ける(※1)」というものがあるのですが、1ターム目でPSIRTに受け入れていただきました。
※1) 2週間で1タームとして、これが3ターム分用意されている。絶対に希望が通るわけではないが、配慮はしてもらえるぞ!
PIRSTとは?
Cy-PSIRTとは、Cybozu inc. Product Security Incident Response Teamの略称です。名前の通りサイボウズ製品のセキュリティに関する問題に対応するチームです。 製品のセキュリティ品質を保ち、向上させることを目的として活動しています。
Cy-PSIRTの主な業務は、サイボウズ製品のセキュリティ上の問題を検出・評価することや、脆弱性情報を公開することです。
> Cy-PSIRTの紹介 より
なんでPSIRTを選んだのか
単純に、横文字のチームがカッコいいな〜と思ったからです。PSIRT配属予定の同期が2人いるのですが、「なんか凄そう、強そう」という感想しか出てこないほどPSIRTについて全く分かっておらず、折角なので体験希望を出していました。ちなみに配属前のセキュリティ知識はほぼ0で、XSSくらいしか知りませんでした。
何をやったのか
PSIRTの業務キーワードは「検出」「評価」「報告」「公開」の4つです。私は欲張りなので突っ込んでもらえそうな会議には全部突っ込んでもらって、体験できそうなことは全てやってきました。
脆弱性の検出
社内で利用しているOSS、ライブラリなどの脆弱性を週次チェック
第三者機関による診断で出た脆弱性を社内で再現確認
脆弱性報奨金制度 による外部通報内容を社内で再現確認
脆弱性の評価
CVSSという国際的な評価指標を使って脆弱性を評価
脆弱性の深刻度を0.0~10.0で数値化できる
複数人でのレビューや議論を通じて最終的な数値が決定される
脆弱性の報告
この脆弱性は影響あるよ、ないよ!というのを開発チームに連絡
外部の公的機関に対して脆弱性情報を届け出ることもある
脆弱性情報を外部公開
公開する文面の作成やJPCERT/CCなどの外部の公的機関への届け出など
ユーザーさんに必要な対応を実施してもらうような注意喚起のため
この期間で何を得たか
個人的に立てていた体験前のゴールが以下の3つなのですが、これをバッチリ達成しました。
セキュリティへ親近感を持てるようになる
脆弱性検証・評価・管理と聞いて何をしているかイメージがつく状態になる
PSIRTが何をやっているか実際にイメージできる
特に1番目はダブルスコアで達成できたんじゃないかと思っています。なぜかというと、この期間の学びが後押しとなり「2年くらいビビり続けていたCTFのイベントに参加登録」をして、Burp Suiteなどを触ったことで「ブラウザの検証(特にネットワークタブ)機能についても学べた」からです。マジでめっちゃ嬉しいんだよ〜〜〜〜!!!!
セキュリティって意外と身の回りに関連しているんだな、と意識することもできましたし、脆弱性見つける人スゲ〜〜って尊敬の念も抱きました。成長だ!これまで結構性善説で生きてきたので、世の中マジで悪い人もいるんだな...という社会勉強にもなった。脆弱性怖すぎる。
また、私はQAとして長年インターンをしていた過去があるのですが、かなりそれに近いと知ることができたのも大きな学びでした。
でもこれは毎日学んだことを振り返る時間をとっていたからに違いない。私の自己満振り返りに付き合ってくださったPSIRTのみなさんには感謝してもしきれません...!
PSIRTの体験に来ていなかったら本配属されても「セキュリティ領域のメチャ強チーム!なんかインシデントが起きた時にいい感じにしてくれるのかな」みたいな偏見を持っていたことでしょう。自分の専門領域ではないから全然わかんない、みたいな感じでチームの理解をすることからも逃げていたような気さえします。
チーム体験後の私のイメージだと、PSIRTは「セキュリティに特化したQA」みたいな感じ...。開発の初期段階で色々相談にも乗ってくれるし、セキュリティ関連で気になることや相談事があったらすぐに相談できるような場所でした。
チーム体験、これまで意識したことのない部分の知見がたくさんついて最高!引き続き頑張ります🔥
最後になりましたが、受け入れてくださったPSIRTのみなさん、調整してくださった開発オンボチームのみなさん、本当にありがとうございました!