Download SlideShare for Android. 15 million presentations at your fingertips  Get the app
×
  • Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
 
« »
   

セキュリティ業務の内製とチームメンバー育成

on

  • 4 views

OWASP Night 12th

OWASP Night 12th

Statistics

Views

Total Views
4
Views on SlideShare
4
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via SlideShare as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
    More…

    セキュリティ業務の内製とチームメンバー育成 セキュリティ業務の内製とチームメンバー育成 Presentation Transcript

    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ業務の内製 とチームメンバー育成 - 0 から作るセキュリティチー ム- Jun 11, 2014 Toshiharu Sugiyama Security Dept. Security Engineering Group DeNA Co., Ltd.
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 自己紹介  会社 ⁃ 株式会社ディー・エヌ・エー • システム本部 セキュリティ部 セキュリティ技術グループ  名前 ⁃ 杉山 俊春 ( はるぷ , @harupuxa)  属性 ⁃ セキュリティ ⁃ プログラマー ⁃ イラストレーター ⁃ ラテアート ⁃ 猫 2
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) と私 3 20122012 20132013 20142014 2013/4 セキュリティ グループ発足 2013/4 セキュリティ グループ発足 2014/4 セキュリティ部 2014/4 セキュリティ部 Join!Join! ここの中 セキュリティ部の位置づけ 技術グループと私 セキュリティ技術グループと セキュリティ推進グループがあります
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事  リリースするアプリ・サービスの脆弱性診断 ⁃ ゲーム全般 ( ブラウザゲーム、 iOS アプリ、 Android アプリ ) • 日本 / 海外、自社開発 / 委託開発共に実施 ⁃ ゲームプラットフォーム (Mobage) ⁃ エンタメ ( マンガボックス、 Showroom 、アプリゼミ 等 ) ⁃ EC(DeNA ショッピング、モバオク、 DeNA トラベル 等 ) ⁃ エブリスタ などなど 4
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事  セキュリティ相談・設計 ⁃ 個人情報を扱う機能の設計 ⁃ 暗号化基準、方式  社内ネットワークのセキュリティ ⁃ 社内の不審な通信の解析 ( 標的型攻撃への対応 ) ⁃ 社内クライアント、サーバ等の脆弱性診断  各種セキュリティの仕組み、ツールの作成   など色々やってます 5
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 6 やることがたくさん! けど、自分たちでやっていく必要がある
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  スピード・スケジュールの柔軟性 ⁃ 気になったタイミングで確認したい ⁃ スケジュールが直前まで FIX できない ⁃ 機能ごとにフェーズわけして実施したい  など 7
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  コスト ( 委託費用 ) ・網羅性 ⁃ セキュリティコストが開発費を超えてしま う! ⁃ 期間、コストを考えると一部の機能しか対 象にできない 8
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  業務知識 ⁃ ゲームにおいてできてはいけないこと は何か ⁃ アイテム増殖、能力不正強化など、一 般的な脆弱性診断では対象にならない 部分も致命的な問題に 9
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  Java, Objective-C 以外のスマホアプリの対応が 必要 ⁃ ngCore ⁃ Unity ⁃ Cocos2d ⁃ Adobe Air ⁃ Unreal Engine ⁃ 独自フレームワーク など 10
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 11 内製でもやっていかないと正直厳しい セキュリティ人材の確保
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材確保の課題  潜在的なセキュリティ人材不足 8 万人 ( 質的不足 16 万人 ) !超多い! 12 ⼈⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈出典:情報セキュリティ 材育成に係る現状と今後の検討課題について (NISC: 2013 年 11 ⼈ 6 ⼈ ) http://www.nisc.go.jp/conference/seisaku/jinzai/dai7/pdf/shiryou04.pdf
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材の課題  「セキュリティ人材」って何? 13 今流行の「フルスタックエンジニア」 ( +セキュリティ知識 ) みたいになってませんか? ……そんな人は見たことありません セキュリティに 「興味を持つ」、「理解できる」 が重要!
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ 楽しくハッキングする セキュリティの最前線に 暗記ではなく理論を考える 14
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること ~  楽しくハッキングする ⁃ つまらない作業にしない • ツール回して終わり は極力しない。ツール回す場合でも 新しい発見を大事に。 • 豪華なドキュメント ( 報告資料 ) は作らない ← 脆弱性診 断業務で一番しんどい部分! ⁃ 開発者に感謝されるようにする • 納得感のある報告 ( 原理、影響の解説 ) ⁃ 「これ凄くね?」を大事に ⁃ 仕事の幅を広く • 「セキュリティ」は広すぎるので、人によって興味を持 つ場所・イメージするものがかなり違う 15
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~教育環境~  脆弱なサンプルアプリ 16 かなり増えている! select * from user_info where login_id='test' and password='' or 1=1-- ' ID/PASS の両方が正しい 全てまたは EC サイト風 ゲーム風
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 講義用資料 詳細解説資料 英語のレベルはアレですが 英語版も! 社内開発者や協業先 にも展開してます! 社内開発者や協業先 にも展開してます! とにかく役立ちそうなものはドキュメント化 セキュリティ人材育成~教育環境~
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~  セキュリティの最前線に ⁃ 社内で情報を出し惜しみしない • 未公開の脆弱性とかも共有する ⁃ 社外への情報発信・セキュリティ貢献もする • IPA への届け出 ⁃ 2012/01-2014/06: 24 件 • 脆弱性解説記事公開 ⁃ 2014/04/15: Heartbleed 18
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~  暗記ではなく理論を考える ⁃ セキュリティ技術を暗記モノにしない • 理屈からちゃんと理解して説明する ⁃ 調べてもよくわからないものも、自分たちでなんと かしてみる 19
    • Copyright (C) DeNA Co.,Ltd. All Rights Reserved. まとめ  業務をより円滑に回すためには、セキュリテ ィ機能が社内にあると便利!  セキュリティ人材育成には、育てられる環境 が必要 20