【サイボウズインターンシップ2026】プロダクトセキュリティコース　紹介資料

サマーインターンシップ プロダクトセキュリティ コースの紹介 サイボウズ株式会社 開発本部 品質保証支援 Cy-PSIRT 湯浅 潤樹 1

自己紹介 • 湯浅 潤樹（ゆあさ じゅんき） • 開発本部 品質保証支援 Cy-PSIRT • 2024年にサイボウズ株式会社入社 • 担当 • kintoneなどの製品 • AIに関わる製品 サマーインターンシッププロダクトセキュリティコースの紹介 2

本日お話する内容 ◼Cy-PSIRTの紹介 ◼Cy-PSIRTとは？ ◼チーム体制 ◼主な業務内容 ◼プロダクトセキュリティコースのインターンシップについて ◼概要 ◼予定コンテンツの内容 ◼本インターンシップの面白さ ◼どんな人が向いているか サマーインターンシッププロダクトセキュリティコースの紹介 3

Cy-PSIRTとは ◼Cy-PSIRT(Cybozu inc. Product Security Incident Response Team) ◼サイボウズ製品のセキュリティに関する問題や品質向上に対応するチーム ◼製品セキュリティの情報を社内と社外の間でやり取りする役割 社外 社内チーム Cy-PSIRT 開発・運用 公的機関 外部の報告者 脆弱性情報の 届出・取得 検出・取得した 脆弱性情報を連絡 その他部署 サマーインターンシッププロダクトセキュリティコースの紹介 4

チーム体制 ◼人数：20名（2025/4月時点） ◼拠点： 日本（東京、松山）、 ベトナム Cy-PSIRT 製品主担当・検証チーム kintone・ サイボウズOfficeな どの担当チーム Garoon・ 販売管理システム などの担当チーム PoCチーム モバイル担当チーム 外部とのコミュニケーションなど 非技術業務全般 サマーインターンシッププロダクトセキュリティコースの紹介 5

Cy-PSIRTの業務内容 検出 受付・評価 公開 セキュリティテスト ソフトウェア 属性情報管理 脆弱性報奨金 制度の運営 その他の取り組み 製品支援活動 脆弱性情報の受付 情報の公開 脆弱性情報の評価 公的機関への届出 インシデントハンド リング 改善活動 サマーインターンシッププロダクトセキュリティコースの紹介 6

Cy-PSIRTの業務内容（検出） ◼セキュリティテスト ◼社内検証：手動での脆弱性検証、自動検証ツールを利用した検証の実施 ◼外部監査/検証：外部機関に脆弱性診断を依頼、結果を確認&開発チームへ報告 ◼ソフトウェア構成情報管理 ◼OSSの脆弱性情報を収集し、毎週/開発完了時にチェック サマーインターンシッププロダクトセキュリティコースの紹介 7

Cy-PSIRTの業務内容（検出） ◼脆弱性報奨金制度（バグバウンティ）の運営・対応 ◼社外の専門家にサイボウズ製品を検証していただき 脆弱性を報告・認定されれば、報奨金をお支払いする制度 https://cybozu.co.jp/products/bug-bounty/ サイボウズ バグバウンティ 検索 ◼制度の設計・運営、施策の検討、報告者から報告された内容のトリアージ ◼検証用環境の提供やメンテナンス業務も実施 https://cybozu.co.jp/products /testing-environment/ サマーインターンシッププロダクトセキュリティコースの紹介 8

• https://cybozu.co.jp/products/bug-bounty/
• https://cybozu.co.jp/products/testing-environment/

Cy-PSIRTの業務内容（受付・評価/公開） ◼受付・評価 ◼発見されたサイボウズ製品の脆弱性情報を集約 ◼脆弱性を評価し、開発チームに脅威を報告 ◼公開 ◼改修した脆弱性情報の公開や公的機関への届出対応 ◼ 不具合情報公開サイト: https://kb.cybozu.support/ ◼ JVNでの公開: https://jvn.jp/jp/JVN20573662/ サマーインターンシッププロダクトセキュリティコースの紹介 9

• https://kb.cybozu.support/
• https://jvn.jp/jp/JVN20573662/

Cy-PSIRTの業務内容（その他の取り組み） ◼製品支援活動 ◼リリース頻度や開発体制に合わせたテストの支援 ◼セキュリティに関する情報提供を通じた支援 ◼機能の設計や実装時のセキュリティ面での相談 ◼インシデントハンドリング ◼製品起因のインシデントが発生した際のハンドリング ◼対応フローやドキュメントの整備、定期的な訓練の実施 ◼詳細はCybozu Inside Outをご覧ください ◼「Cy-PSIRTが行っている製品開発におけるセキュリティ支援についての紹介」 https://blog.cybozu.io/entry/2024/08/16/103000 サマーインターンシッププロダクトセキュリティコースの紹介 10

• https://blog.cybozu.io/entry/2024/08/16/103000

Cy-PSIRTの業務内容（その他の取り組み） ◼ 改善活動 ◼業務改善や様々な課題を解決するためにWG/TF活動を実施 ◼下記のような様々な活動を実施 ◼インシデントハンドリング ◼セキュリティチャンピオン ◼脅威分析や脅威モデリング ◼チーム内勉強会の実施 Etc… サマーインターンシッププロダクトセキュリティコースの紹介 11

プロダクトセキュリティコースの インターンシップについて 12

プロダクトセキュリティコースの概要 ◼ 期間:2026/9/7(月)〜9/11(金) ◼ 就業時間: 9:30〜18:30（※応相談） ◼ コンテンツの形式: 実務型を予定 ◼ 体験していただけること ◼Cy-PSIRTが行なっている実際の業務 ◼製品を開発している事業会社ならではのセキュリティ対応や取り組み ◼ 募集要項の詳細は、下記サイトをご参照ください。 ◼ https://cybozu.co.jp/company/job/recruitment/intern/productsecurity.html サマーインターンシッププロダクトセキュリティコースの紹介 13

• https://cybozu.co.jp/company/job/recruitment/intern/productsecurity.html

Cy-PSIRTの業務内容 検出 受付・評価 公開 セキュリティテスト ソフトウェア 属性情報管理 脆弱性報奨金 制度の運営 その他の取り組み 製品支援活動 脆弱性情報の受付 情報の公開 脆弱性情報の評価 公的機関への届出 インシデントハンド リング 改善活動 の部分がインターンシップで体験してもらうもの サマーインターンシッププロダクトセキュリティコースの紹介 14

インターンシップのコンテンツ（予定） ◼製品説明 ◼ 手を動かしながら、サイボウズ製品について理解を深める ◼脆弱性検証 ◼ 実際の機能を題材に社内検証実施までの一連の流れや製品への脆弱性検証を体験 ◼脆弱性評価 ◼ CVSSv3の考え方やスコアの付け方を学び、脆弱性評価を体験 ◼外部通報対応 ◼ 脆弱性報奨金制度対応の一部（トリアージ、再現確認、評価）を体験 ◼製品支援活動・改善活動 ◼ Cy-PSIRTが行なっているセキュリティ周りの支援や改善活動を体験 サマーインターンシッププロダクトセキュリティコースの紹介 15

本インターンシップの面白さ/どんな人が向いているか ◼本インターンシップの面白さ ◼実務を通じてCy-PSIRTが行なっている業務を体験できる ◼事業会社ならではのセキュリティへの関わり方を体験できる ◼製品セキュリティを向上させることの面白さを知れる ◼本インターンシップに向いている方 ◼Webサービスのセキュリティに関する品質保証やテストに興味がある方 ◼事業会社のセキュリティの活動に興味がある方 ◼製品セキュリティの品質向上活動に興味がある方 サマーインターンシッププロダクトセキュリティコースの紹介 16

メンター紹介 北村 圭輝 湯浅 潤樹 サマーインターンシッププロダクトセキュリティコースの紹介 17

Cy-PSIRTの業務やインターンシップに関するブログ記事 Cy-PSIRTの紹介ブログ インターンシップ2025開催ブログ プロダクトセキュリティコースへの エントリーお待ちしております。 サマーインターンシッププロダクトセキュリティコースの紹介 18