BigQueryの監査ログは役に立つ

<html><head></head><body><p>こんにちは！ エンジニアの@junkusaです。先日、PLAID社内で<a href="http://karte.io/" target="_blank" rel="noreferrer">KARTE</a>のセキュリティをテーマにしたセキュリティハッカソンを実施しました。</p>
<h2 id="セキュリティハッカソンの目的と背景">セキュリティハッカソンの目的と背景</h2>
<p>PLAIDは<a href="http://karte.io/" target="_blank" rel="noreferrer">KARTE</a>という「リアルタイムユーザー解析プラットフォーム」を提供していますが、KARTEではさまざまな種類のデータを扱います。<br>
KARTEのデータを安全に扱うために、PLAIDでは外部のセキュリティの専門家などとも協力して取り組んでいます。<br>
また“セキュリティ組“というセキュリティ強化に取り組むチームもできました。セキュリティ組では開発者自身がより深くセキュリティに取り組むのを手助けしています。</p>
<p>開発者自身で深くセキュリティに取り組むには、セキュリティについて深く理解する必要があります。<br>
そのため、まず自社のサービスであるKARTEにおいて何を防がなくてはいけなくて、どのようなセキュリティホールが生まれる可能性があるかを知る機会が必要と考えました。<br>
そのセキュリティの知識を得る一つの方法として、セキュリティ組が中心となってKARTEを攻撃、防御したりするハッカソンを開いてみることにしました。</p>
<h2 id="セキュリティハッカソンの開催">セキュリティハッカソンの開催</h2>
<p>セキュリティハッカソンでは、Issueに当日のアジェンダや目的などを共有してから実施しました。<br>
セキュリティハッカソンでは、ローカル環境や試験環境などを使い、本番環境には影響がでないようにするという前提を周知しました。<br>
それ以外については基本的に自由にして、各自がKARTEに対して攻撃方法や防御方法を考え試して、成功失敗どちらの結果もハッカソンの終わりに共有することにしました。</p>
<blockquote>
<p>セキュリティハッカソンのIssue<br>
今回のセキュリティハッカソンは試験的なものであっため、短めの時間設定にしました</p>
</blockquote>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/2d87f832-c886-4be3-b9b6-d8e5ec108da2/agenda.png" alt="agenda"></p>
<p>セキュリティハッカソンでは各自が考えていた攻撃方法などを試して、実際に問題があるかや対策されているかを確認していました。<br>
他にも、気になっていたセキュリティツールを試したり、普段開発して気になっていた部分を調べてみたりと攻撃以外のことも試されていました。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/b4baa9f6-23f0-47f9-bf16-d2bee76d4fff/image.jpg" alt="セキュリティハッカソンの様子"></p>
<h2 id="セキュリティハッカソンの結果">セキュリティハッカソンの結果</h2>
<p>セキュリティハッカソンの終了後に、各自(各チーム)が試したことなどを共有しました。<br>
ハッカソンの中で見つけた問題についてはその場でIssueを作成し、ハッカソン後に修正や対策などに取り組んでいます。<br>
また、実際の脆弱性にはつながらなかった攻撃についても共有し、その攻撃からどのような問題につながる可能性があるかを議論しました。<br>
最後に、これらの結果を社内のesaにまとめ、ハッカソンに参加できなかった開発者にも共有しました。<br>
開発者からは「成果を共有されることで勉強になった」、「セキュリティに注目を集めるきっかけにもなるので継続的に開催したい」といった声が上がっていました。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/799b17d5-ebe1-4407-b92c-bf525c9fb9fc/security_result.png" alt="security_result"></p>
<h2 id="セキュリティハッカソンの後">セキュリティハッカソンの後</h2>
<p>セキュリティハッカソンの目的は、開発者自身がどのようなセキュリティの問題がおきるかの可能性を知る機会を作ることでした。<br>
そのため、セキュリティハッカソンで見つかった問題(既に修正済み)を、発見者が実際にどのように見つけたを学ぶハンズオン形式の社内イベントも実施しました。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/f47e72c2-e115-413c-b36b-25896f87b371/hands_on.png" alt="hands_on"></p>
<p>脆弱性の見つけ方を学ぶハンズオンでは、<a href="https://portswigger.net/burp" target="_blank" rel="noreferrer">Burp Suite</a>などのツールも使いつつ実際にローカル環境に向けて攻撃を行い、<br>
その攻撃によってどのような仕組みで問題が発生するかを体験できるようにしました。</p>
<p>また、流行した攻撃手法や脆弱性によってどのような被害が想定されるかも交えたデモなども行いました。<br>
たとえば、管理画面などログデータが表示される場所を狙ったBlind XSSでは、どのように効率的にデータを集めているかなどを実際に動かしながら見ていきました。</p>
<ul>
<li><a href="https://medium.com/bugbountywriteup/blind-xss-for-beginners-c88e48083071" target="_blank" rel="noreferrer">Blind XSS for beginners – InfoSec Write-ups – Medium</a></li>
</ul>
<p>自分自身で攻撃を体験してみることで、脆弱性をもっと身近に感じて貰えるようにして、それらを意識して開発するという目的もあります。</p>
<h2 id="まとめ">まとめ</h2>
<p>「セキュリティ」はとても大事ですが、何かできたから「完成」といったゴールがあるわけではありません。<br>
そのため、「セキュリティ」は継続的に改善していき、リスクを軽減や発見できるようにフィードバックループを回していく必要があると思います。<br>
PLAIDではこれからも開発者を巻き込みながら、「セキュリティ」改善へ向けてのアクションを続けていきます。</p>
<h2 id="最後に">最後に</h2>
<p>CX（顧客体験）プラットフォーム「<a href="https://karte.io/" target="_blank" rel="noreferrer">KARTE</a>」を運営するプレイドでは、継続的にセキュリティ改善に取り組んでいきたいというエンジニアを募集しています。<br>
詳しくは<a href="https://plaid.co.jp/recruit/engineer.html" target="_blank" rel="noreferrer">弊社採用ページ</a>または<a href="https://www.wantedly.com/companies/plaid/projects" target="_blank" rel="noreferrer">Wantedly</a>をご覧ください。 もしくはお気軽に、下記の「話を聞きに行きたい」ボタンを押してください！</p>
<div class="wantedly-visit-button" data-visit-button-id="lyE_IgY4VF5ukBo_EUKZLg" data-width="300" data-height="60"></div>
<script>
  (function(d, s, id) {
    var js, fjs = d.getElementsByTagName(s)[0];
    if (d.getElementById(id)) return;
      js = d.createElement(s); js.id = id;
      js.src = "https://platform.wantedly.com/visit_buttons/script.js";
      fjs.parentNode.insertBefore(js, fjs);
    }(document, "script", "wantedly-visit-buttons-wjs"));
</script>
</body></html>

社内セキュリティハッカソンを開催！
見つかった問題の脆弱性体験および修正のハンズオン実施！

社内セキュリティハッカソンと脆弱性体験ハンズオンを開催しました