はじめに

いつもお世話になっているGMO Flatt Securityさんから「ユーザ企業でセキュリティに向き合う人のためのコミュニティ」を初開催するとのことで、登壇のお声がけをいただいた。当日のイベントの様子を軽くまとめていきたいと思う。

イベント概要

https://flatt.connpass.com/event/365208/

今回、初開催を迎えるProduct Security Squareは、GMO Flatt Securityのお客様をはじめとして、プロダクトセキュリティに関わるみなさまのための交流と学びの場です。GMO Flatt Securityは「エンジニアの背中を預かる」をミッションに掲げ、開発組織にとって価値があり体験の良いセキュリティサービスを日本で一番考え抜いていると自負しています。

本イベントでそんな弊社の最新知見と、ユーザ企業の方の事例が共有されることで、プロダクトセキュリティに向き合う皆様にとって有益なコミュニティになることを目指します。

会場

ちなみにGMOは古巣で、渋谷フクラスは初だった。8年前はフクラスは存在せず、GMO YOURSに行くためにはセルリアンタワーまで足を運ぶ必要があったのだが、駅から近くなったのはとても嬉しい。今度イベントでも利用させてもらうと思う。

開会式が@toyojuni氏から始まったが、あまりにも時間を押してしまい、その後のCTO @lmt_swallow氏のお話が早すぎて全くついていけなかったのは吹いてしまった。(メモは途中諦めてしまったので許して)

AIコードレビューの限界考察と打破に向けた Takumi でのアプローチ

  • GMO Flatt Security 取締役CTO 米内 貴志

AIによるコードレビューは必ずしも「銀の弾丸」ではないのと、検出の過程ではノイズも多く、診断結果が本当に危険なのかを見極めるのが課題である。脆弱性発見にはコストがかかるが、AIはスケール可能で、低コストで繰り返し回せる。実際に、AIでの脆弱性検知にかかったコストはたった $152。精度をどう高めるか、ノイズをどう減らすかが次のチャレンジであると感じた。

Takumiは素早くコードレビューを回しつつ、必要に応じて検証プロセスを追加することができる。今後はコードレビューに加えて、ブラックボックス診断で動的検査も組み合わせていくとのこと。

LLMとnon-LLM を適材適所で使い分け、再現性ある「Deterministic Validation」も取り入れることで、より安定した診断を目指している。

セキュリティは社会全体の安心感に直結するテーマであり、「AIでどこまで効率化し、どこから人の判断が必要か?を模索しながら、Takumiは進化を続けていくことが分かった。

YouTubeでもいい話してるので参考に!

パスキー対応の留意点を診断員の観点から考察する

  • GMO Flatt Security 執行役員プロフェッショナルサービス事業CTO 志賀遼太

近年、Passkey認証による実装ミスでアカウント乗っ取りが可能な事例が報告されている。セキュリティやユーザビリティの観点からも重要な技術となり、これからの認証基盤を考える上で避けて通れないテーマでもある。

特に、署名検証を怠ると「誰の署名なのかを確認できない」という根本的な問題に直結する。証明をまったく検証していない状態と同義であり、攻撃リスクが飛躍的に高まる。

Passkeyは一見すると、簡単な認証UXを提供するが、裏側の認証プロトコルは複雑で、実装者の理解不足や検証不足によって、思わぬ脆弱性を招きやすい構造になっている。

診断と開発の思考の違いとしてはどこで検証が抜けているかを疑いながら見る必要があり、開発時には安全に利用できるように、どの部分をきちんと実装すべきかを押さえることだと感じた。

「プロダクトは誰が守るのか?」〜セキュリティ・キャンプ講義設計の裏側〜 by ふじたーな

セキュリティ・キャンプの講義による設計の裏側についてLTされていた。全国大会は22歳以下の学生や生徒から選考に通過した80名の参加者が集まって、合宿形式でセキュリティ技術と倫理を学ぶプログラムである。セキュリティはすべてを網羅してまうと穴ができてしまうため、まずは、やらないことを決めることが大事であると伝えていたので、自分も改めて、設計等の見直しをする必要があると感じた。

FindyにおけるTakumi活用と脆弱性管理のこれから by adachin0817

弊社FIndyのセキュリティ基盤紹介とTakumiの導入効果や今後の立ち位置についてLTしてきた。まだまだ、課題はあるが、「Takumiを活用して、人依存の診断をAIで仕組みとして回すセキュリティに進化させ、開発スピードと信頼性を両立していく」とビジョンを掲げて、今期中にサービスに導入し、文化醸成をしていくことを目標にしている。

Nstockの一人目エンジニアが 3年間かけて向き合ってきたセキュリティのこととこれから 〜 あれから半年 〜 by わだよし

Nstockさんのわだよしさんのセキュリティの今後についてLTされていた。門番ではなくて、踏み外さないためのガードレールを敷く役でありたいと伝えており、承認よりも運用支援やガイドライン整備やプラクティスの収集と展開を目指しているとのことで、引き続き応援している!!

  • 次回

まとめ

懇親会では情シスの方が結構多いように見えた。ご飯は久しぶりにGMO YOURSの社食をいただいたが、質問攻めで、後半全く食べれなかったのは懸念点であった。Takumiくんとチェキが取れるコーナーではデコ入れもできるので、思わずギャルかよ!と突っ込んでしまったが、今回のイベントは非常にゆるかったので、ぜひ次回も他社のセキュリティ事例などは聞いてみたいと感じた。ご招待ありがとうございました!!


adachi.ryo

1989年生まれのFindy/SRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWSでのインフラ構築、Docker開発環境の提供、IaC、新技術の検証、リファクタリング、セキュリティ強化、分析基盤の運用などを担当している。 個人事業主では数社サーバー保守とベンチャー企業のインフラコンサルティングを行うほか、TechBullを創業し、未経験者向けにSREのコーチングやコミュニティ運営、LT大会の開催、 会員管理システム「Members」の開発をリードしている。さらに、エンジニア向けYouTubeメディア「TECH WORLD」ではSRE関連の動画に出演し、過去には脆弱性スキャナ「Vuls」のOSS活動にも貢献。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください