組織横断のセキュリティ課題の解決を推進させる取り組み

セキュリティ

この記事は、CYBOZU SUMMER BLOG FES '25の記事です。

こんにちは、PSIRT(Product Security Incident Response Team)のIkuteaです。 サイボウズでは、クラウドサービス全体のセキュリティを向上させるために、クラウドサービスセキュリティ向上WGを立ち上げました。 本記事では、設立背景、運用プロセス、実際に得られた改善例を紹介します。『組織横断のセキュリティ課題の解決をどう推進するか』のヒントになれば幸いです。

ワーキンググループができるまで

まずは、ワーキンググループ(WG)が設立されるまでの背景と経緯を紹介します。 クラウドサービスセキュリティ向上WGは、開発や運用に関わる部署でセキュリティに対して横断的に議論を行い、課題を解決するために設立されました。

PSIRTではセキュリティに対するさまざまな取り組みを実施していますが、組織を横断するような対応の場合にどこに相談すればよいか悩むケースが多々ありました。 このワーキンググループができる以前にも開発や運用に関わる人が書き込めるような社内のオープンな場で議論することもありましたが、回答責任者が不明確で、有志の知見に依存していました。とくに組織横断の課題は、単一チームの裁量では完結しません。 責任と権限がアプリケーション・プラットフォーム・ネットワークなどに分散しており、部署ごとに運用・開発・セキュリティなどの専門知識の強みが異なり、前提や用語も違います。そのため、単一部署だけでは判断しづらい課題や、相談先の特定が難しいケースがあります。こうした背景から、同じ課題意識を持つメンバーが集まり、必要な取り組みを意見交換する場を設け、課題の解決に向けた仕組みを具体化しました。

  • 横断的なセキュリティに関する問題を登録できる kintone アプリを用意
  • ワーキンググループを立ち上げ
  • 定期的に登録内容のトリアージ(優先度付け)をする会議の実施

それぞれの対応は次のように進めています。

脅威シナリオを集める「セキュリティ脅威/対策リスト」 kintone アプリ

「セキュリティ脅威/対策リスト」というアプリを作成しました。

このアプリの登録はサイボウズ社員であれば可能です。 セキュリティに関する不安や対策の希望を持つ人が、自由に懸念事項を登録できるアプリを用意し、社内に周知しました。 登録後、ワーキンググループで整理するため、登録時の粒度は問いません。また、関連知識がなく本当に脅威なのか自信がなくても登録してよいとしています。

脅威シナリオを集める「セキュリティ脅威/対策リスト」アプリの告知

アプリには「概要」と「内容」を記載するフィールドがあり、気になっていることを自由に記載できます。 作成当初は、「想定される攻撃シナリオ/受ける影響」「過去の攻撃事例(他社を含む)」などさまざまな項目を用意していましたが、自由記述にするのがシンプルで登録しやすいという結論になりました。

セキュリティ脅威/対策リストの登録画面

登録された内容は、ワーキンググループでリスクについて分析・調査して対策を検討していきます。

ワーキンググループ

クラウドサービスセキュリティ向上WGを立ち上げました。 それぞれの部署・チーム・人が感じているセキュリティ面の課題を解決することを目的として、 セキュリティに関する問題を募り、対策について検討しています。

意見交換に参加するメンバーに加え、各本部長からも適切なメンバーが割り当てられました。 ワーキンググループへの参加はPSIRT以外に各部署のマネージャーが多く参加しており、所属組織の判断権限を持って参加しています。

クラウドサービスセキュリティ向上WGの全体定例会議

ワーキンググループの定例会議を開催して話し合いを行います。現時点では、隔週で30分実施しています。 この定例会議では、「セキュリティ脅威/対策リスト」アプリに登録された内容を確認し、対策・対応する担当部署やチームの割り当てを行います。

定例会議では以下の流れに沿って進行していきます。

  1. 全体での共有・相談事項
  2. 未割り当ての議題に担当を割り当て
  3. 全体で共有・相談が必要な事項の話し合い

担当の割り当てでは、問題を解決するためにどの部署やチームの協力が必要か話し合って決めます。相談の窓口としてワーキンググループのメンバーを割り当てますが、実際の対応は個人ではなく部署やチームで行います。 対応の優先度は担当となった部署やチーム内で決めます。 全体定例は30分と限られた時間で進行するため、全体での話し合いが必要な相談事項以外は、議題ごとにミニミーティング(mini MTG)を設けて、別途相談します。 mini MTGは、各議題に関係するメンバーで集まる会議を指します。この会議やコメントでのやり取りで対応方法や課題について検討を進めていきます。

問題登録から対応までの流れ

クラウドサービスセキュリティ向上WGの取り組みによる変化

クラウドサービスセキュリティ向上WGの取り組みにより、登録された議題について、活発な議論と対応の検討を継続しています。 PSIRTが洗い出したセキュリティ課題にも、横断的に対応できるようになりました。

こうした変化を具体的に示すため、代表的な取り組みを一つ紹介します。中でも、各製品共通の仕様の検討フローの見直しは影響範囲が広く継続的に取り組むべき課題です。 サイボウズでは、kintone、Garoon、サイボウズ Office、メールワイズなど複数の製品を開発しています。サイボウズでは、これらの製品に対して共通して対策するべきセキュリティに関する仕様を定めていますが、 こういった仕様は懸念として挙げられた際に都度議論するにとどまり、定期的なメンテナンスや見直しまでは十分に行えていない状態でした。 この問題に対応するために、最新のセキュリティ情報を参照できるようにするフローを検討し、最新のセキュリティ情報に基づく参照と更新が継続的に回る体制づくりを進めています。

クラウドサービスセキュリティ向上WGの仕組みによって、フローやポリシーの検討から対策の導入まで、多岐にわたる取り組みを進めることができるようになりました。 登録件数の増加により、すべての課題を同時に扱うのは難しい状況ですが、クラウドサービスのセキュリティ向上に確実に寄与しています。

おわりに

この活動が成り立っているのは、サイボウズ全体の高いセキュリティ意識によって支えられています。当初は登録数の少なさが懸念されていましたが、実際には多くの人が問題意識を持ち、積極的に登録しており、杞憂に終わりました。各部署・チームのマネージャーが前向きにセキュリティ対応に取り組んでいることもこの仕組みが成り立つ要因となっています。PSIRT単独では拾いきれなかった課題にも、ワーキンググループを通じて横断的に取り組めるようになりました。これからもこの活動が継続して活発・効率的に運用できるようPSIRTとして貢献していきます。

PSIRTでは、製品セキュリティに取り組む仲間を新卒・中途ともに募集しています。 興味のある方はぜひ募集要項・エントリーをご覧ください。

cybozu.co.jp

cybozu.co.jp