セキュリティ業務の内製とチームメンバー育成

15,279 views

Published on

OWASP Night 12th

Published in: Engineering
0 Comments
65 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
15,279
On SlideShare
0
From Embeds
0
Number of Embeds
461
Actions
Shares
0
Downloads
1
Comments
0
Likes
65
Embeds 0
No embeds

No notes for slide

セキュリティ業務の内製とチームメンバー育成

  1. 1. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ業務の内製 とチームメンバー育成 - 0 から作るセキュリティチー ム- Jun 11, 2014 Toshiharu Sugiyama Security Dept. Security Engineering Group DeNA Co., Ltd.
  2. 2. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 自己紹介  会社 ⁃ 株式会社ディー・エヌ・エー • システム本部 セキュリティ部 セキュリティ技術グループ  名前 ⁃ 杉山 俊春 ( はるぷ , @harupuxa)  属性 ⁃ セキュリティ ⁃ プログラマー ⁃ イラストレーター ⁃ ラテアート ⁃ 猫 2
  3. 3. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) と私 3 20122012 20132013 20142014 2013/4 セキュリティ グループ発足 2013/4 セキュリティ グループ発足 2014/4 セキュリティ部 2014/4 セキュリティ部 Join!Join! ここの中 セキュリティ部の位置づけ 技術グループと私 セキュリティ技術グループと セキュリティ推進グループがあります
  4. 4. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事  リリースするアプリ・サービスの脆弱性診断 ⁃ ゲーム全般 ( ブラウザゲーム、 iOS アプリ、 Android アプリ ) • 日本 / 海外、自社開発 / 委託開発共に実施 ⁃ ゲームプラットフォーム (Mobage) ⁃ エンタメ ( マンガボックス、 Showroom 、アプリゼ ミ等 ) ⁃ EC(DeNA ショッピング、モバオク、 DeNA トラベ ル等 ) ⁃ エブリスタ などなど 4
  5. 5. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事  セキュリティ相談・設計 ⁃ 個人情報を扱う機能の設計 ⁃ 暗号化基準、方式  社内ネットワークのセキュリティ ⁃ 社内の不審な通信の解析 ( 標的型攻撃への対応 ) ⁃ 社内クライアント、サーバ等の脆弱性診断  各種セキュリティの仕組み、ツールの作成   など色々やってます 5
  6. 6. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 6 やることがたくさん! けど、自分たちでやっていく必要がある
  7. 7. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  スピード・スケジュールの柔軟性 ⁃ 気になったタイミングで確認したい ⁃ スケジュールが直前まで FIX できない ⁃ 機能ごとにフェーズわけして実施したい  など 7
  8. 8. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  コスト ( 委託費用 ) ・網羅性 ⁃ セキュリティコストが開発費を超えてしま う! ⁃ 期間、コストを考えると一部の機能しか対 象にできない 8
  9. 9. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  業務知識 ⁃ ゲームにおいてできてはいけないこと は何か ⁃ アイテム増殖、能力不正強化など、一 般的な脆弱性診断では対象にならない 部分も致命的な問題に 9
  10. 10. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  Java, Objective-C 以外のスマホアプリの 対応が必要 ⁃ ngCore ⁃ Unity ⁃ Cocos2d ⁃ Adobe Air ⁃ Unreal Engine ⁃ 独自フレームワーク など 10
  11. 11. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 11 内製でもやっていかないと正直厳しい セキュリティ人材の確保
  12. 12. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材確保の課題  潜在的なセキュリティ人材不足 8 万人 ( 質的不足 16 万人 ) !超多い! 12 ⼈⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈出典:情報セキュリティ 材育成に係る現状と今後の検討課題について (NISC: 2013 年 11 ⼈ 6 ⼈ ) http://www.nisc.go.jp/conference/seisaku/jinzai/dai7/pdf/shiryou04.pdf
  13. 13. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材の課題  「セキュリティ人材」って何? 13 今流行の「フルスタックエンジニア」 ( +セキュリティ知識 ) みたいになってませんか? ……そんな人は見たことありません セキュリティに 「興味を持つ」、「理解できる」 が重要!
  14. 14. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ 楽しくハッキングする セキュリティの最前線に 暗記ではなく理論を考える 14
  15. 15. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること ~  楽しくハッキングする ⁃ つまらない作業にしない • ツール回して終わり は極力しない。ツール回す場合でも 新しい発見を大事に。 • 豪華なドキュメント ( 報告資料 ) は作らない ← 脆弱性診 断業務で一番しんどい部分! ⁃ 開発者に感謝されるようにする • 納得感のある報告 ( 原理、影響の解説 ) ⁃ 「これ凄くね?」を大事に ⁃ 仕事の幅を広く • 「セキュリティ」は広すぎるので、人によって興味を持 つ場所・イメージするものがかなり違う 15
  16. 16. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~教育環境~  脆弱なサンプルアプリ 16 かなり増えている! select * from user_info where login_id='test' and password='' or 1=1-- ' ID/PASS の両方が正しい 全てまたは EC サイト風 ゲーム風
  17. 17. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 講義用資料 詳細解説資料 英語のレベルはアレですが 英語版も! 社内開発者や協業先 にも展開してます! 社内開発者や協業先 にも展開してます! とにかく役立ちそうなものはドキュメント化 セキュリティ人材育成~教育環境~
  18. 18. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~  セキュリティの最前線に ⁃ 社内で情報を出し惜しみしない • 未公開の脆弱性とかも共有する ⁃ 社外への情報発信・セキュリティ貢献もする • IPA への届け出 ⁃ 2012/01-2014/06: 24 件 • 脆弱性解説記事公開 ⁃ 2014/04/15: Heartbleed 18 Mobage developers blog http://developers.mobage.jp/blog/2014/4/15/heartbleed
  19. 19. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~  暗記ではなく理論を考える ⁃ セキュリティ技術を暗記モノにしない • 理屈からちゃんと理解して説明する ⁃ 調べてもよくわからないものも、自分たちでなんと かしてみる 19
  20. 20. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. まとめ  業務をより円滑に回すためには、セキュリテ ィ機能が社内にあると便利!  セキュリティ人材育成には、育てられる環境 が必要 20

×