狠狠撸

狠狠撸Share a Scribd company logo

セキュリティ业务の内製とチームメンバー育成

?
?
Toshiharu Sugiyama
Toshiharu Sugiyama

OWASP Night 12th

1 of 20
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ業務の内製 とチームメンバー育成 - 0 から作るセキュリティチー ム- Jun 11, 2014 Toshiharu Sugiyama Security Dept. Security Engineering Group DeNA Co., Ltd.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 自己紹介 ? 会社 ? 株式会社ディー?エヌ?エー ? システム本部 セキュリティ部 セキュリティ技術グループ ? 名前 ? 杉山 俊春 ( はるぷ , @harupuxa) ? 属性 ? セキュリティ ? プログラマー ? イラストレーター ? ラテアート ? 猫 2
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) と私 3 20122012 20132013 20142014 2013/4 セキュリティ グループ発足 2013/4 セキュリティ グループ発足 2014/4 セキュリティ部 2014/4 セキュリティ部 Join!Join! ここの中 セキュリティ部の位置づけ 技術グループと私 セキュリティ技術グループと セキュリティ推進グループがあります
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事 ? リリースするアプリ?サービスの脆弱性診断 ? ゲーム全般 ( ブラウザゲーム、 iOS アプリ、 Android アプリ ) ? 日本 / 海外、自社開発 / 委託開発共に実施 ? ゲームプラットフォーム (Mobage) ? エンタメ ( マンガボックス、 Showroom 、アプリゼ ミ等 ) ? EC(DeNA ショッピング、モバオク、 DeNA トラベ ル等 ) ? エブリスタ などなど 4
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事 ? セキュリティ相談?設計 ? 個人情報を扱う機能の設計 ? 暗号化基準、方式 ? 社内ネットワークのセキュリティ ? 社内の不審な通信の解析 ( 標的型攻撃への対応 ) ? 社内クライアント、サーバ等の脆弱性診断 ? 各種セキュリティの仕組み、ツールの作成   など色々やってます 5
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 6 やることがたくさん! けど、自分たちでやっていく必要がある
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか ? スピード?スケジュールの柔軟性 ? 気になったタイミングで確認したい ? スケジュールが直前まで FIX できない ? 機能ごとにフェーズわけして実施したい  など 7
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか ? コスト ( 委託費用 ) ?網羅性 ? セキュリティコストが開発費を超えてしま う! ? 期間、コストを考えると一部の機能しか対 象にできない 8
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか ? 業務知識 ? ゲームにおいてできてはいけないこと は何か ? アイテム増殖、能力不正強化など、一 般的な脆弱性診断では対象にならない 部分も致命的な問題に 9
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか ? Java, Objective-C 以外のスマホアプリの 対応が必要 ? ngCore ? Unity ? Cocos2d ? Adobe Air ? Unreal Engine ? 独自フレームワーク など 10
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 11 内製でもやっていかないと正直厳しい セキュリティ人材の確保
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材確保の課題 ? 潜在的なセキュリティ人材不足 8 万人 ( 質的不足 16 万人 ) !超多い! 12 ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?出典:情報セキュリティ 材育成に係る現状と今後の検討課題について (NISC: 2013 年 11 ? 6 ? ) http://www.nisc.go.jp/conference/seisaku/jinzai/dai7/pdf/shiryou04.pdf
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材の課題 ? 「セキュリティ人材」って何? 13 今流行の「フルスタックエンジニア」 ( +セキュリティ知識 ) みたいになってませんか? ……そんな人は見たことありません セキュリティに 「興味を持つ」、「理解できる」 が重要!
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ ?楽しくハッキングする ?セキュリティの最前線に ?暗記ではなく理論を考える 14
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること ~ ? 楽しくハッキングする ? つまらない作業にしない ? ツール回して終わり は極力しない。ツール回す場合でも 新しい発見を大事に。 ? 豪華なドキュメント ( 報告資料 ) は作らない ← 脆弱性診 断業務で一番しんどい部分! ? 開発者に感謝されるようにする ? 納得感のある報告 ( 原理、影響の解説 ) ? 「これ凄くね?」を大事に ? 仕事の幅を広く ? 「セキュリティ」は広すぎるので、人によって興味を持 つ場所?イメージするものがかなり違う 15
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~教育環境~ ? 脆弱なサンプルアプリ 16 かなり増えている! select * from user_info where login_id='test' and password='' or 1=1-- ' ID/PASS の両方が正しい 全てまたは EC サイト風 ゲーム風
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 講義用資料 詳細解説資料 英語のレベルはアレですが 英語版も! 社内開発者や協業先 にも展開してます! 社内開発者や協業先 にも展開してます! とにかく役立ちそうなものはドキュメント化 セキュリティ人材育成~教育環境~
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ ? セキュリティの最前線に ? 社内で情報を出し惜しみしない ? 未公開の脆弱性とかも共有する ? 社外への情報発信?セキュリティ貢献もする ? IPA への届け出 ? 2012/01-2014/06: 24 件 ? 脆弱性解説記事公開 ? 2014/04/15: Heartbleed 18 Mobage developers blog http://developers.mobage.jp/blog/2014/4/15/heartbleed
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ ? 暗記ではなく理論を考える ? セキュリティ技術を暗記モノにしない ? 理屈からちゃんと理解して説明する ? 調べてもよくわからないものも、自分たちでなんと かしてみる 19
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. まとめ ? 業務をより円滑に回すためには、セキュリテ ィ機能が社内にあると便利! ? セキュリティ人材育成には、育てられる環境 が必要 20

More Related Content

セキュリティ业务の内製とチームメンバー育成

  • 1. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ業務の内製 とチームメンバー育成 - 0 から作るセキュリティチー ム- Jun 11, 2014 Toshiharu Sugiyama Security Dept. Security Engineering Group DeNA Co., Ltd.
  • 2. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 自己紹介 ? 会社 ? 株式会社ディー?エヌ?エー ? システム本部 セキュリティ部 セキュリティ技術グループ ? 名前 ? 杉山 俊春 ( はるぷ , @harupuxa) ? 属性 ? セキュリティ ? プログラマー ? イラストレーター ? ラテアート ? 猫 2
  • 3. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) と私 3 20122012 20132013 20142014 2013/4 セキュリティ グループ発足 2013/4 セキュリティ グループ発足 2014/4 セキュリティ部 2014/4 セキュリティ部 Join!Join! ここの中 セキュリティ部の位置づけ 技術グループと私 セキュリティ技術グループと セキュリティ推進グループがあります
  • 4. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事 ? リリースするアプリ?サービスの脆弱性診断 ? ゲーム全般 ( ブラウザゲーム、 iOS アプリ、 Android アプリ ) ? 日本 / 海外、自社開発 / 委託開発共に実施 ? ゲームプラットフォーム (Mobage) ? エンタメ ( マンガボックス、 Showroom 、アプリゼ ミ等 ) ? EC(DeNA ショッピング、モバオク、 DeNA トラベ ル等 ) ? エブリスタ などなど 4
  • 5. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事 ? セキュリティ相談?設計 ? 個人情報を扱う機能の設計 ? 暗号化基準、方式 ? 社内ネットワークのセキュリティ ? 社内の不審な通信の解析 ( 標的型攻撃への対応 ) ? 社内クライアント、サーバ等の脆弱性診断 ? 各種セキュリティの仕組み、ツールの作成   など色々やってます 5
  • 6. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 6 やることがたくさん! けど、自分たちでやっていく必要がある
  • 7. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか ? スピード?スケジュールの柔軟性 ? 気になったタイミングで確認したい ? スケジュールが直前まで FIX できない ? 機能ごとにフェーズわけして実施したい  など 7
  • 8. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか ? コスト ( 委託費用 ) ?網羅性 ? セキュリティコストが開発費を超えてしま う! ? 期間、コストを考えると一部の機能しか対 象にできない 8
  • 9. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか ? 業務知識 ? ゲームにおいてできてはいけないこと は何か ? アイテム増殖、能力不正強化など、一 般的な脆弱性診断では対象にならない 部分も致命的な問題に 9
  • 10. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか ? Java, Objective-C 以外のスマホアプリの 対応が必要 ? ngCore ? Unity ? Cocos2d ? Adobe Air ? Unreal Engine ? 独自フレームワーク など 10
  • 11. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 11 内製でもやっていかないと正直厳しい セキュリティ人材の確保
  • 12. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材確保の課題 ? 潜在的なセキュリティ人材不足 8 万人 ( 質的不足 16 万人 ) !超多い! 12 ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?出典:情報セキュリティ 材育成に係る現状と今後の検討課題について (NISC: 2013 年 11 ? 6 ? ) http://www.nisc.go.jp/conference/seisaku/jinzai/dai7/pdf/shiryou04.pdf
  • 13. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材の課題 ? 「セキュリティ人材」って何? 13 今流行の「フルスタックエンジニア」 ( +セキュリティ知識 ) みたいになってませんか? ……そんな人は見たことありません セキュリティに 「興味を持つ」、「理解できる」 が重要!
  • 14. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ ?楽しくハッキングする ?セキュリティの最前線に ?暗記ではなく理論を考える 14
  • 15. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること ~ ? 楽しくハッキングする ? つまらない作業にしない ? ツール回して終わり は極力しない。ツール回す場合でも 新しい発見を大事に。 ? 豪華なドキュメント ( 報告資料 ) は作らない ← 脆弱性診 断業務で一番しんどい部分! ? 開発者に感謝されるようにする ? 納得感のある報告 ( 原理、影響の解説 ) ? 「これ凄くね?」を大事に ? 仕事の幅を広く ? 「セキュリティ」は広すぎるので、人によって興味を持 つ場所?イメージするものがかなり違う 15
  • 16. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~教育環境~ ? 脆弱なサンプルアプリ 16 かなり増えている! select * from user_info where login_id='test' and password='' or 1=1-- ' ID/PASS の両方が正しい 全てまたは EC サイト風 ゲーム風
  • 17. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 講義用資料 詳細解説資料 英語のレベルはアレですが 英語版も! 社内開発者や協業先 にも展開してます! 社内開発者や協業先 にも展開してます! とにかく役立ちそうなものはドキュメント化 セキュリティ人材育成~教育環境~
  • 18. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ ? セキュリティの最前線に ? 社内で情報を出し惜しみしない ? 未公開の脆弱性とかも共有する ? 社外への情報発信?セキュリティ貢献もする ? IPA への届け出 ? 2012/01-2014/06: 24 件 ? 脆弱性解説記事公開 ? 2014/04/15: Heartbleed 18 Mobage developers blog http://developers.mobage.jp/blog/2014/4/15/heartbleed
  • 19. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ ? 暗記ではなく理論を考える ? セキュリティ技術を暗記モノにしない ? 理屈からちゃんと理解して説明する ? 調べてもよくわからないものも、自分たちでなんと かしてみる 19
  • 20. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. まとめ ? 業務をより円滑に回すためには、セキュリテ ィ機能が社内にあると便利! ? セキュリティ人材育成には、育てられる環境 が必要 20