サイボウズのプロダクトセキュリティとTakumi活用のこれから

>100 Views

March 11, 26

#psirt #security #生成ai

スライド概要

2026/3/3開催 Product Security Square #3で発表した、田口 息吹の資料です。

Product Security Square #3
https://flatt.connpass.com/event/377261/

複数のグループウェア製品を開発・提供するサイボウズでは、PSIRTが各製品のセキュリティを横断的に担当しています。 本セッションでは、弊社のプロダクトセキュリティにおける全体像や取り組みを紹介し、Takumiの活用状況と今後見据えている方向性について、PSIRTの視点から田口がお話ししました。

profile-image
スライド一覧

サイボウズ株式会社の主に開発本部の資料を公開するアカウントです。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

生産性向上チーム採用ピッチ
採用ピッチ 生産性向上
user-img サイボウズ開発本部 32.3K
slide-thumbnail

kintoneエンジニアリングマネージャー業務紹介
user-img サイボウズ開発本部 26.4K
slide-thumbnail

Garoon 開発チーム資料
採用ピッチ
user-img サイボウズ開発本部 16.3K
slide-thumbnail

大規模環境でCiliumを運用して得られた課題と知見
neco
user-img サイボウズ開発本部 12.4K
slide-thumbnail

kintone開発チームの紹介
kintone 採用ピッチ
user-img サイボウズ開発本部 9.1K
slide-thumbnail

cybozuQAエンジニアカジュアル面談資料
qa kintone garoon office cybozu
user-img サイボウズ開発本部 7.3K
各ページのテキスト
1.

サ イボ ウズ の プロ ダク ト セキ ュリ テ ィと Ta k u m i活 用の これ から 2026.3.3 Product Security Square #3 サイボウズ株式会社 開発本部 品質保証支援部 PSIRT 田口 息吹 1

2.

自己紹介 田口 息吹(たぐち いぶき) • サイボウズ プロダクトセキュリティエンジニア • 2021年 新卒入社 • 担当:cybozu.com共通管理、サイボウズOffice、メールワイズ など • 2022〜 ISOG-J WG1 newtech 2

3.

本日話すこと サイボウズのプロダクトセキュリティ • サイボウズのPSIRTとは • 脆弱性診断の全体像と効率化 Takumi活用のこれから • Takumiの現在の使い方・課題 • 期待していること • 今後の方針 3

4.

会社紹介 サイボウズ株式会社 事業内容 (東証プライム[証券コード4776]) 1997年創業 グループウェア の開発・販売・運用 愛媛県松山市にて3名で創業 本社所在地 東京都中央区日本橋2-7-1 東京都中央区日本橋2-7-1 東京日本橋タワー 27,28F 27F 東京, 大阪, 松山, 松山, 名古屋, 東京, 大阪, 名古屋, 福岡, 福岡, 仙台, 広島, 仙台, 札幌, 横浜, 那覇, 上海, 深圳, 上海, 深圳,成都, 台北, ホーチ ホーチミン, ミン, サンフランシスコ, サンフランシスコ,台湾 シドニー, バンコク, クアラル ンプール など 従業員数 連結 1,356名 ※役員除く 無期雇用(正社員)数 資本金 平均年齢 613百万円 36.4歳 *上記は2025年12月末時点 4

5.

サイボウズのクラウドサービス 業務システム構築プラットフォーム グループウェア ノーコード/ローコードで 業務システムを実装できるプラットフォーム 中小企業向けグループウェア 契約中 39,000社 導入延べ 83,000社 メール共有システム チームのメール対応を一元管理 導入延べ 16,000社 中堅・大規模組織向けグループウェア 導入延べ 8,400社 *上記は、国内契約社数 *2026年1月末時点の社数 *「kintone」はクラウドのみの販売 *「サイボウズ Office」、「Garoon」、「メールワイズ」は、パッケージ版とクラウド版を合算した延べ導入社数 5

6.

サイボウズのセキュリティ体制 PSIRT 開発本部 • Product Security Incident Response Team • 製品に関するセキュリティ品質の強化 • 製品起因のインシデント対応 CSIRT kintone 各部署 各部署 社長 開発本部 各部署 ・・・ その他製品 社長直下 セキュリティ室 CSIRT 各部署 各部署 • Computer Security Incident Response Team • 社内ルールの策定やセキュリティ教育、第三者認証の取得 各部署 • 社内インシデント対応(端末紛失/フォレンジックなど) ・・・ 開発/組織支援 2025年現在の大まかな組織図 PSIRT 各部署 6

7.

PSIRTの業務全体像 PSIRTが担っている役割 • • 脆弱性診断やBug Bountyなど、あらゆる手段で脆弱性情報を認識することに注力 公的機関への報告や、プロダクトセキュリティに関するその他の取り組みなども行う 検知 • 評価 脆弱性診断 利用ライブラリの管理 • Bug Bounty運営 その他 • 製品のセキュア開発支援 • インシデントハンドリング • セキュリティチャンピオン ▲ • CVSS ▲ (PSIRT, Vendor) • 公開 • JPCERT/CC • 自社サイト(KB) 関連資料 サイボウズ PSIRTの歩み 現在の活動 https://www.docswell.com/s/cybozu-tech/KJQVPG-PSIRTCAREER • 脅威モデリング 7

8.

多角的な脆弱性検出 PSIRTによる脆弱性診断 監査結果はHP上で公開しています • テスターが製品特性に応じた診断を実施 https://www.cybozu.com/jp/productsecurity/#third-party • Webに加え、AIやモバイルに対する診断も実施 セキュリティベンダーによる監査 • 脆弱性診断(定期) / ペネトレーションテスト(不定期) • PSIRTで診断できていない領域も含め、幅広い対象で実施 脆弱性報奨金制度(Bug Bounty) • 脆弱性を早期発見する目的で実施(2014年〜) • https://cybozu.co.jp/products/bug-bounty サイボウズ バグバウンティ 検索 8

9.

PSIRTの脆弱性診断の全体像 • 開発要件の実装が完了後、PSIRTの担当テスターが診断・結果報告を行う • 開発チームからの依頼ベースでの診断 or PSIRTが要件を確認して必要な診断を実施 (開発チームによって異なる) • 診断方針は各開発チームの開発サイクルに合わせ、調整の上柔軟に対応 • 診断実施のタイミング / 診断依頼・結果報告方法 / 期限 / 対象範囲 など PSIRT プロダクトA担当 プロダクトB担当 プロダクトC担当 脆弱性診断 脆弱性診断 脆弱性診断 開発要件確認 → 診断実施・結果報告 診断依頼 結果報告 プロダクトA 開発チーム 要件・実装内容の確認 ↓ テスト設計 ↓ 診断(テスト) ↓ 結果の報告・評価 プロダクトB 開発チーム プロダクトC 開発チーム ・・・ 9

10.

診断における効率化の重要性 • 前提 • 複数製品が同時並行で開発され、各開発チームから診断依頼が都度発生する • 診断スケジュール、PSIRT(テスター)の工数は有限 ここ最近は・・・ • AI活用による開発スピードの上昇 + プロダクトのリリースサイクル高速化の動き • 診断が非効率だとどうなるか • 対応日数増 / 依頼に対応できない • テスターの負担増 • 診断の質が低下(高度な診断や深い分析ができない) • 開発サイクルにおいて脆弱性診断がボトルネックになる → 円滑なプロダクト開発、セキュリティ品質の継続的な維持・向上のために診断の効率化が重要 10

11.

診断効率化の変遷 〜2021 • Burp Suiteを使った手動診断が主 • 診断ツールは導入されていたが、活用が安定していない状況 • 他のツールのトライアルや診断の効率化について模索 弊社ブログCybozu Inside Outに詳しく記載しています 自動脆弱性診断ツールの導入と効率化の取り組み https://blog.cybozu.io/entry/2025/05/30/080000 2022〜 SaaS型自動診断ツール導入 • 手動診断とツールによる自動診断を併用 • ツール利用を前提とした診断フローの改善・効率化など 2025〜 Takumi導入 • 2025/10〜 トライアル運用 • 2026/1〜 本運用 11

12.

Takumiの現在 現状のTakumiの使い方 PSIRT・開発メンバーの一部が必要に応じて各自利用している 運用方針の具体化や診断フローへの組み込みはまだ行なっていない どんなことに使っているか • • • 脆弱性の調査(SAST)・定期診断 • 機能 / ディレクトリ / PR / 脆弱性 を絞って調査 • 週次でコードの差分に対してセキュリティレビュー 調査・洗い出し • OSS脆弱性の影響調査 • 依存関係の調査 • 特定のコードパターンの調査 コードリーディングの補助 • 実装内容についての質問・解説 → 診断時(テスト設計)の情報収集を効率化 12

13.

見えてきた別の課題 • 診断結果の確認が追いつかない • 従来のツールと比べ、より高度で詳細なレポートが出力されるため レビューや再現確認に大きく工数がかかる • 結果を確認しきれず、重要な指摘を見落とすリスクがある 検討していること • レビュー対象の基準を設ける • 診断の粒度やスコープを調整し、出力量をコントロールする 13

14.

Takumiに期待していること 従来の診断ツールの限界の克服 • • • 高度な診断の自動化 ➢ 従来のツールでは、仕様理解やコンテキストに基づく判断を要する診断は難しかった(認可制御や製品特有の機能など) • 仕様を踏まえた適切な診断設計、高度な診断まで自動化できる 高精度な検出 ➢ 従来のルールベースの検出では誤検知が避けられず、トリアージの負荷が高かった • 誤検知が少なく、信頼度の高いレポート 開発プロセスへの組み込み • PSIRTが都度診断する必要がなくなり、開発プロセスの中で脆弱性検出から修正までを完結できる 14

15.

Takumiの今後 グレーボックステストのリリースを起点に運用を具体化する • 診断フローや開発プロセスへの組み込みを検討 • 運用ルールの策定・使い方の標準化 • 他ツールとの棲み分けを明確化 • 活用方法のさらなる模索 理想的な状態 人間の診断なしにセキュリティが担保される状態 必要な箇所に対して適切な診断が自律的に行われる 15

16.

まとめ サイボウズのプロダクトセキュリティ • 多角的な手段で脆弱性を検出し製品のセキュリティに取り組んでいる • 高速化する開発に追従するため、脆弱性診断の効率化がますます重要になっている • これまで診断ツールの導入や効率化を進めており、次のステップとしてTakumiを導入 Takumi活用のこれから • 現在は各自がTakumiを活用し脆弱性調査やコードリーディングの補助に利用している • 高度な診断の自動化や高精度な検出など従来ツールの限界を超える役割に期待 • これからは運用の具体化を進めていく サイボウズのPSIRTでは、Zennでセキュリティに関する記事を発信しています。 ご興味があればご覧ください! https://zenn.dev/p/cybozu_psirt 16

17.

©️ Cybozu, Inc. 17