天の月

ソフトウェア開発をしていく上での悩み, 考えたこと, 学びを書いてきます(たまに関係ない雑記も)

徳丸浩とただただしのここだけの話 〜freeeのセキュリティって実際どうなん?〜に参加してきた

freee.connpass.com

こちらのイベントに参加してきたので、会の様子と感想を書いていこうと思います。

会の概要

以下、イベントページから引用です。

スペシャルゲストとしてWebアプリケーションセキュリティの第一人者である徳丸浩さんをお迎えし、freee PSIRTマネージャーただただしとのスペシャル対談イベントを開催します!1時間たっぷり自由にお話してもらいます。

トークテーマは下記を予定しています。

・セキュアなものを作ることができる時代、徳丸さんがいま考えるWebアプリセキュリティとは

・freeeがいま直面しているセキュリティ課題

・freeeの開発プロセスにおけるセキュリティとエンジニア教育

・セキュリティとAI

会の様子

freeeのセキュリティ事情と脆弱性診断

freeeではRailsを使用しているということと、リリースがあるたび脆弱性診断を行っているということもあり、脆弱性診断をしてもほとんど指摘が出ることはないそうで、「本当にこんなにセキュアなシステムなのか?」という贅沢な悩みを抱えているというお話がありました。

徳丸さん視点では、Railsを使っている時点で脆弱性がある程度出にくいことは理解を示しつつ、自社でRailsのプロダクトを脆弱性診断をすると結構脆弱性が見つかることも多いため、一概にRailsを使っているから安心できるとは言えないとお話がありました。

徳丸本を今updateするなら?

SQLインジェクションXSSCSRFは外せないと考えつつも、ディレクトリトラバーサルやHTTPヘッダインジェクションというのもまずないだろうとは思っているというお話がまずありました。

一方でSPA関連の話やパスワード関連の話(パスワード変更時の脆弱性など)はあまり書かれていないので、ここはもっとupdateしたいと思っているそうです。

freeeがセキュリティ面で行っている工夫

freeeでは、認可制御や認証認可周りはマイクロサービス化し、セキュアで堅牢な実装ができるようにしているという話がありました。また、どの事業所がどのモジュールにアクセスできるのか?というのを権限マトリクスで制御するといった工夫もされているそうです。

徳丸さん視点だと、このように権限マトリクスが定義されている会社はかなり少ない印象があるので、ぜひTechブログなどで発表をしてほしいということでした。

エンジニアに対するセキュリティ教育

徳丸さんの経験だと、新人のエンジニアでセキュリティを学びたいという人は意外と多い印象があるそうですが、「それよりかはまずコードを書いたらいいんじゃない?」とは思ってしまうということでした。*1
また、キラキラしていることも大切だけれど、地道なことをコツコツ実践していくのも重要だということも伝えたいそうです。

freeeでは、開発者であってもセキュリティ面の知識を有するようになって欲しい(ある種のDevSecOps)と思っているものの、いわゆる上流工程に近い部分でセキュリティ観点のチェックができるようになるのはなかなか難しいと考えているそうで、課題感を持っているというお話でした。
直近ではその課題への対策として、セキュリティチャンピオン制度を導入しているということで、各開発チームに1名はセキュリティ面でチェックができるようになる人を育成しているということです。

freeeのエンジニア教育

freeeのエンジニア教育に関して、セキュリティ観点でポジティブな話とネガティブな話の両方が挙げられていました。

ネガティブな面としては、体系的なセキュアコーディングの研修といったものがまだ用意できていないということが挙げられるということでした。

ポジティブな面としては、社内で内製開発した脆弱性がありまくる練習用のソフトウェアを新人に渡し、脆弱性を指摘しまくってもらう取り組みを毎年できていることが挙げられるというお話でした。

なお、外部から高評価をもらっている障害訓練に関しては、実態としては社内のお祭りという側面が強いそうで、開発チーム個別の課題というよりは組織レベルの課題が見つかるようなことが多いということでした。

ChatGPTとセキュリティ

脆弱なコードは吐かないようにチューニングされていると思いきや、ハルシネーションはやはり起こるそうで、複数行のテキストをbrタグを使いながら書いてもらうといった脆弱性が起きやすいネタは間違いなくあるというお話がありました。

セキュリティの攻守逆転

セキュリティ分野では、攻撃する側が圧倒的に有利だという話が定説としてはありますが、freeeでは、膨大なログが残っているがゆえに攻撃者の意図をあぶり出すことができるのでは?と考えているそうで、現在多角的にログを分析しているというお話が出ていました。

なお、分析はインターン生が主導してやってくれているそうで、最近の学生さんの優秀さをひしひしと実感しているということでした。

会全体を通した感想

徳丸さんと多田さんの対談ということもあり、セキュリティをテーマに様々な抽象度で興味深い話が繰り広げられ、かなり密度の濃い時間を過ごすことができて大満足でした。

テーマもかなり踏み込んでいたり、あまり包み隠さず実情を話してくれたのも好印象で、大変おもしろいイベントでした。

*1:優しいので面と向かって言うことはないそうです