この記事は、CYBOZU SUMMER BLOG FES '25の記事です。 はじめに PSIRTの北村とJJです。本記事は2025年の8月に開催されたBSides Las Vegasで登壇し、DEFCONに参加した際の記録になります。 BSides Las Vegas BSides Las Vegasとは BSides Las Vegasは、毎年8…

この記事は、CYBOZU SUMMER BLOG FES '25の記事です。 こんにちは！PSIRT の大塚です。2025/7/5 - 7/7 で、Cybozu Bug Bounty 10周年を記念したバグハン合宿を開催しました。今回は合宿の様子とこれまでの変化についてご紹介します。 バグハン合宿2025 バグ…

この記事は、CYBOZU SUMMER BLOG FES '25の記事です。 こんにちは、kintone開発組織でエンジニアリングマネージャーをしている上岡（@ueokande）です。 少し前の話ですが、グローバル市場向けkintone1（以下kintone.com）において、2023年12月にSOC2 Type 1…

セキュリティ系部署にジョインした3人の24新卒のメンバー、北村、JJ、まさきちがそれぞれの1年目を振り返ります。サイボウズにおいては、PSIRTとセキュリティ室の2つのセキュリティ系部署があり、北村、JJがPSIRT、まさきちがセキュリティ室に所属しています…

はじめに こんにちは、PSIRTの田口です。 今回は、自動脆弱性診断ツール「AeyeScan」の導入とそれを活用するための取り組みによってサイボウズの脆弱性診断がどのように変わったのかをご紹介します。 背景となる課題、導入に向けた検討、そして実際の運用に…

こんにちは。開発本部内でセキュリティ活動を行っているPSIRTです。PSIRTで初の社内CTF（Capture The Flag）を開催したので、本記事ではその開催準備の様子や開催中の様子を紹介します。 開催背景 2025年2月4日から6日にかけて、開発・運用系のメンバーが一…

はじめに CyberTAMAGO Prompt Hardenerの発表 その他の発表 発表・ワークショップなど Hacking Google - Lessons learned running and growing an internal red team SBOM and Security Transparency - How it all fits together SecuriTTX for Everyone (Ta…

こんにちは！Cy-PSIRTの田口です。 本記事はサイボウズ サマーインターンシップ2024 プロダクトセキュリティコースの開催報告です。 今年は8月に1ターム、昨年と同様にフルリモートで開催しました。 概要 プロダクトセキュリティコースは8月26日〜29日で開催…

こんにちは、Cy-PSIRTの山西です。 本年でサイボウズの脆弱性報奨金制度はおかげさまで10周年を迎えました。 ここまで制度を続けることができたのは、いつも支えてくださる皆様のおかげです。 このエントリでは、2022年12月17日～2023年12月31日（以降、2023…

はじめに 脆弱性報奨金制度とは 脆弱性検証環境提供プログラムについて 報奨金について 製品・サービス Webサイト ポイントについて リアルタイムポイントランキング swagリスト 報告用サイトおよび検証環境の申し込み方法 脆弱性を探す上での参考情報 製品…

この記事は、CYBOZU SUMMER BLOG FES '24 (QA Engineer Stage) DAY 3の記事です。 こんにちは！開発本部のセキュリティチームであるCy-PSIRTに所属している小西です。 今回は、Cy-PSIRTが行っている弊社開発チームへのセキュリティ的な支援について紹介して…

こんにちは！Cy-PSIRTの田口です。 本記事はサマーインターンシップ2023 プロダクトセキュリティコースの開催報告です。 今年も去年に続き、8月と9月に全2ターム、フルリモートでインターンシップを開催しました。 概要 プロダクトセキュリティコースは第1タ…

こんにちは、Cy-PSIRTの久保です。本記事では報奨金制度の通年実施のご案内と、昨年分の振り返りについてお知らせしたいと思います。 サイボウズ脆弱性報奨金制度とは サイボウズ脆弱性報奨金制度は、弊社サービスに存在する脆弱性を早期に発見・改修するこ…

こんにちは！Cy-PSIRTに所属している2021年新卒の田口です。 本記事では、私がCy-PSIRTに配属されてから今に至るまでの活動や取り組みについて振り返ります。 入社してから約2年が経過し、その間にスキルや業務でどのような変化があったのか新卒入社の視点か…

こんにちは！Cy-PSIRTの田口です。 本記事は、11月に開催されたセキュリティイベント「Hardening 2022 DECADE」の参加レポートです。サイボウズからは、Cy-PSIRTの小西と田口が参加しました。 Hardeningとは 簡潔に表すと、システムへの堅牢化力の強さを総合…

こんにちは！Cy-PSIRTの田口です。 本記事はサマーインターンシップ2022 プロダクトセキュリティコースの開催報告です。 今年は、8月と9月に全2タームでインターンシップを開催しました。 去年に続き、今年もフルリモートで実施しました。 概要 プロダクトセ…

こんにちは。Cy-PSIRTの長友(@naga_hito)です。 このエントリでは、2021年度実施した報奨金制度を振りかえります。

はじめまして。2021 年に新卒として入社した大畑と田口と久松です。本記事では 3 人で入社から 1 年の振り返りをしてみました。

こんにちは、Cy-PSIRTの久保です。 いよいよ2022年度のサイボウズ脆弱性報奨金制度が開始となります！ 本記事では今年度の概要や変更点についてご紹介したいと思います。

初めに サイボウズ・ラボの光成です。 いきなりですがクイズです。次のうち正しい説明はどれでしょう。 SSHやFIDO2などの公開鍵認証はチャレンジを秘密鍵で暗号化し、公開鍵で復号して認証する。 ビットコインでは相手の公開鍵を用いてハッシュ値を暗号化し…

こんにちは！Cy-PSIRTの小西です。 本記事は8月に行われたサマーインターンシップ2021のプロダクトセキュリティコースの開催報告です。

こんにちは！ サイボウズで製品セキュリティの品質向上に励んでいる小西です。社内でCy-PSIRTと呼ばれている製品セキュリティに関する問題に対応する専門のチームに所属しています。今回は、私が所属しているCy-PSIRTのお仕事について紹介していきたいと思い…

こんにちは。Cy-SIRT（Cybozu Security Incident Response Team）の中井戸です。 今回は、社内で実施したインシデント対応訓練の様子をお届けします。

こんにちは。Cy-PSIRT(Cybozu Product Security Incident Response Team)の福永です。 本エントリでは 2019年に実施した報奨金制度の結果 参加者からのご要望 について、ご紹介いたします。

こんにちは。Cy-PSIRT の長友です。2019 年度の報奨金制度では、たくさんのバグハンターの皆様にたくさんのご報告をいただきました。サイボウズ製品のセキュリティ品質向上への取り組みにご協力いただき大変感謝しています。 このエントリーでは、2020 年度…

フロントエンドエキスパートチームの小林(@koba04)です。 先日、npmから脆弱性についての発表がありました。 調べていく中でいくつか思うところがあったので解説も兼ねて書いていきたいと思います。 The npm Blog — Binary Planting with the npm CLI

こんにちは！開発本部の田村です。 今年もサイボウズではサマーインターンを開催しました。 本記事では、品質保証・セキュリティコースについて紹介します。

こんにちは！！！ (合宿は最後にするぞ)と準備をしながら思っていたのに、終わった瞬間から次の合宿のことを考えてしまっていた PSIRT の大塚(由)です。 2019/4/20,21に、2年ぶり3度目となるバグハン合宿を開催しましたので、当日の様子と結果についてご報告…

こんにちは。Cy-PSIRT(Cybozu Product Security Incident Response Team)の福永です。 本エントリでは 2018年に実施した報奨金制度の結果 参加者からのご意見 について、ご紹介いたします。

まいど！ Cy-PSIRT(Cybozu Product Security Incident Response Team)の長友(@naga_hito)です。 今年1月、私が大阪に異動し、なんと大阪にもPSIRTができました。これで国内3拠点、国外拠点を合わせるとなんと5拠点（東京・大阪・松山・上海・ホーチミン）にP…