サイボウズ PSIRTの歩み現在の活動 / サイボウズプロダクトセキュリティエンジニア採用ピッチ資料

サイボウズ製品のセキュリティ品質向上を目的として活動するチーム PSIRTの歩みと 現在の活動 1

目次 01 サイボウズのPSIRTとは P03 02 PSIRTの具体的な業務、取り組み P10 03 チームの特徴、その他の活動 P16 04 終わりに P20 2

サイボウズのPSIRTとは 3

サイボウズのPSIRTとは サイボウズには大きく分けて2つのセキュリティ組織があります PSIRT 開発本部 この資料ではPSIRTのことを紹介しています • Product Security Incident Response Team • 製品に関するセキュリティ品質の強化 • 製品起因のインシデント対応 CSIRT kintone 各部署 各部署 社長 開発本部 各部署 ・・・ その他製品 社長直下 セキュリティ室 CSIRT 各部署 各部署 • Computer Security Incident Response Team • 社内ルールの策定やセキュリティ教育、第三者認証の取得 各部署 • 社内インシデント対応(端末紛失/フォレンジックなど) ・・・ 開発/組織支援 2025年現在の大まかな組織図 PSIRT 各部署 4

サイボウズのPSIRTとは PSIRTの役割/目的 サイボウズのPSIRT(Product Security Incident Response Team) とは 「サイボウズ製品のセキュリティ品質向上を目的として活動するチーム」です。 チームの理想 エンドユーザ向け 社内の開発チーム向け 安全にサイボウズ製品を使える セキュリティ品質に自信を持って と言ってもらう 製品をリリースできると言ってもらう 5

サイボウズのPSIRTとは PSIRTの体制 日本、ベトナムにメンバーがいます • PSIRTには日本メンバー12名とベトナムメンバー6名が在籍しています（2025年10 月時点） • 英語化されている製品とそうでない製品があり、ベトナムメンバーは主に英語化さ れた製品を中心に活躍しています。 製品A 製品によっては英語版があり、 ベトナムメンバーは英語版を担当 ≈ 製品を分担しながら、連携も重視しています 日本語 • サイボウズには複数の製品があり、PSIRT内でそれぞれ担当を分担しています。 英語 • チーム全体での連携も重視しており、横のつながりを保ちながら協力して対応して います。 PSIRTとして独立しているのは？ • 脆弱性に関する情報や話題を幅広く集約しやすい • ある製品（A製品）で発見された脆弱性が、他の製品（B製品）にも該当するかどうかを確認し やすく、情報の横展開や知見の共有がスムーズに行える • 製品に限定されない話題や、複数製品にまたがる問題にも柔軟に対応できる 製品B 製品C ≈ ≈ 日本語 日本語 6

サイボウズのPSIRTとは サイボウズの開発/運用状況 2011年のクラウド事業開始以来、自社でクラウド基盤を開発・運用 サイボウズのクラウドサービスは共通のクラウド基盤で運用しています。お客様のデータを守ることを最優先に、信頼性 の高いインフラを整えています。また、ISMAPにも登録されており、第三者認証にて評価されております。 7

サイボウズのPSIRTとは PSIRTの業務全体像 PSIRTが担っている役割 脆弱性検証やバグバウンティなど、あらゆる手段で脆弱性情報を認識することに注力しており、公的機関への報告や、プロダ クトセキュリティに関するその他の取り組みなどにも力を入れています。 検知 • 評価 脆弱性検証 利用ライブラリの管理 • Bug Bounty運営 ▲ • CVSS ▲ (PSIRT, Vendor) • 公開 • JPCERT/CC • 自社サイト(KB) その他 • インシデントハンドリング、セキュリティチャンピオン、脅威モデリング 関連のブログ記事 Cy-PISRTの紹介 https://blog.cybozu.io/entry/2021/10/08/170000 8

• https://blog.cybozu.io/entry/2021/10/08/170000

サイボウズのPSIRTとは PSIRTの変遷 2013年、PSIRTの前身である「セキュリティチーム」は2名で発足しました。きっかけは、インシデントの発生とクラウド サービス開始によるセキュリティ重要性の高まりです。 社内検証だけでは知見が不足していたため、外部専門家の協力を得る目的で、初期から報奨金制度（BugBounty）も導入 しました。最初は期間限定で実施し効果やコストを確認した上で、体制を整え通年運用に移行へ。BugBountyで得た知見は、 社内検証の強化にも大きく役立っています。 2014 2017 2022 2025 報奨金制度開始 PSIRTとCSIRTの分離 自動検証の開始 セキュリティチャン 報奨金制度英語化 ピオン、脅威モデリ セキュリティ人材の採用 ングの取り組み開始 2013 2016 2018 2024 セキュリティチームの設立 上海開発部ジョイン ベトナム開発部ジョイン AI検証体制の確立 （〜2024） 9

PSIRTの具体的な業務、取り組み 10

PSIRTの具体的な業務、取り組み PSIRTによる脆弱性検証 手動検証と自動検証 リリース前に実施 複数製品に対応 手動検証と自動検証を組み合わせて 一部製品や内容次第では、リリース 製品ごとのリリースサイクルに バックログ単位で実施。自動検証の 後の実施となる場合もあり 合わせて柔軟に対応 部分は徐々に増えてきている 11

PSIRTの具体的な業務、取り組み 定期的に複数のインシデント訓練を実施 BCP訓練 CSIRTハンドリング • 社内で定めているBCP文書※に沿って、仮想対応(ロールプレイング)を実施する • BCP発令時に必要な各部署の動きや関係者を相互に確認し、BCP文書の改善点を洗い出す • 社長や本部長含む意思決定者も参加し、スムーズな対応に繋がるよう訓練する BCP 本部 BCP文書とは、BCP発令時に、サイボウズの従業員が自身の安全確保後に「cybozu.comサービスを継続 運営するため」に知るべき内容が記載されている文書 開発本部・クラウド基盤本部訓練 • 「インシデントは発生する」を前提とした訓練 • 製品起因となるインシデント発生時の、開発側の一連の流れを仮想対応する訓練 • 特殊シナリオも組み込む：意思決定者がバカンス or 本部内で完結できない • どういう準備が必要か、気づきを得て、NextActionに繋がることが重要 PSIRT訓練 PSIRT PSIRTハンドリング （図）サイボウズにおけるインシデント訓練の範囲 PSIRTハンドリング • 製品起因のインシデント発生時にはPSIRTがハンドリングすることになっており、それを想定したPSIRT内の動きに特化した訓練 • 影響範囲の確認方法から、関係者への連絡を含め仮想対応を実施する • 一部のメンバーが不在でもチーム内の動きが止まらぬよう、一連の流れをチーム全体で定期的に認識合わせする 12

PSIRTの具体的な業務、取り組み セキュリティチャンピオン施策で、製品セキュリティの協力者を配置 2025年から、役割を決めてプロダクトチーム側にそれぞれ配置する取り組みを開 始しました。製品ごとに抱えている問題や改善したいポイントは異なるため、それ ぞれの製品にあった支援を実施しています。 チャンピ オン 元々PSIRTには各製品ごとの担当を置いており、チャンピオンが加わることで更な る連携強化を進めています。 開発 製品 セキュリティ QA を高める チャンピオン同士の連携も支援 製品間の話題や活動共有、相談の場を定期的に提供することで 各製品チームでのセキュリティ活動推進を促しています。 製品A チャンピオン PSIRT （図）セキュリティチャンピオン他各関係者が連携して 製品セキュリティを向上させるイメージ 製品B チャンピオン 製品C チャンピオン 13

PSIRTの具体的な業務、取り組み 脅威モデリングで潜在的な脅威を明らかにする 関連ブログ 社内で脅威モデリングワークショップを開催してみた https://blog.cybozu.io/entry/2025/10/08/110000 （図）脅威モデリングの成果物の例 製品に注力していただけでは見えてこないリスクに対応するための活動です。 レイヤー関係なく「攻撃経路を認識すること」はプロダクトセキュリティにおいても重要です。PSIRTだけで対応できるも のではなく、本部を跨いで協力者を集めて活動を実施しています。 サプライチェーンを含めて「あらゆるリスクを把握し、対応を検討すること」に重きをおいて活動しています。 14

• https://blog.cybozu.io/entry/2025/10/08/110000

PSIRTの業務紹介 新たな取り組み 脅威分析の実施 組織を横断した連携 新たな脅威への備え 開発や運用などのさまざまな関係者での脅威分析を実施し、 あらゆるリスクを広く認識する活動を実施しています 認識したリスクの優先度をつけ、PSIRT以外のメンバーと広く連携し、 組織で改善に向けた活動を実施しています サプライチェーンリスクへの対応も注力しています 各方面と連携しセキュリティ強化の取り組みを実施予定です 15

チームの特徴、その他の活動 16

チームの特徴、その他の活動 チームの特徴 開発者、ユーザー双方に貢献できる 若手が活躍しているチーム 検証や支援を通じて製品開発にも貢献でき、 年齢層は20代半ば～40代 安全な製品を提供してユーザーにも価値を届けることが できるやりがいの大きいチームです ボリュームゾーンは20代半ば～30代前半です 若手を中心に活躍しています 基本はフルリモート チームワーク向上に力を入れています チームメンバーは日本全国に！ 年1,2 回のチームビルディングや定期的にLT会などを 全社イベント参加やモチベ向上のために、 行い知見や学びの共有を行っています 不定期に出社するケースがあります ベトナムメンバーともチームワークを心掛けています 17

チームの特徴、その他の活動 PSIRTでは社外に向けてさまざまな活動をしています ハンター向け バグハンター合宿 セキュリティ業界向け 書籍の執筆 ツールの作成 Bug Bountyに参加のハンターと合 PSIRTメンバーが執筆した、 PSIRTメンバーが開発した、LLM 宿形式で集中的に脆弱性を発見・報 Androidアプリ開発者に向けたセ のプロンプトを堅牢化するツール 告、その場で認定を行うセキュリ キュリティの基礎と対策をハンズ です。国内はもちろん、Las ティイベント。2014年以降に開催 オン形式で体系的に解説した入門 Vegasでの登壇実績があります。 し、これまでに5回開催しています。 ガイド本 です。 18

チームの活動、その他の活動 セキュリティ関連のコミュニティや国内外のイベントに積極的に協賛、登壇、参加 さまざまなコミュニティへの協賛や、カンファレンス参加/登壇実績があります。 主な協賛（一部） Hardening Project OWASP Ultimate Cyber Security Quiz 直近の登壇イベント（一部、他多数あり） 年 イベント名 登壇タイトル / 資料リンク 2025 OWASP Night 2025 「PSIRTでAIテストを実施するまでの道のり」 2025 Security BSides Las Vegas 2025 “Prompt Hardener – Automatically Evaluating and Securing LLM System Prompts” 2024 CODE BLUE 2024／CyberTAMAGO 「Prompt Hardener」 19

• https://www.docswell.com/s/cybozu-tech/ZQR7NR-owasp-night-250304-konishi
• https://speakerdeck.com/melonattacker/prompt-hardener-automatically-evaluating-and-securing-llm-system-prompts
• https://speakerdeck.com/melonattacker/prompt-hardener

最後までご覧いただきありがとうございました！ 以下の募集要項に詳細があります。 ご連絡お待ちしてます！ https://cybozu.co.jp/recruit/entry/career/security-engineer.html 20

• https://cybozu.co.jp/recruit/entry/career/security-engineer.html