Download to read offline
Uploaded byMasaki Kasuya
買収案件のセキュリティテストを 円滑に進める手段
OWASP Night 20th @Rakuten Crimson House Speaker: Masaki Kasuya
![[Biz reach qa meetup] qa team_build](https://cdn.slidesharecdn.com/ss_thumbnails/bizreachqameetupqateambuild-190719053542-thumbnail.jpg?width=640&height=640&fit=bounds)
買収案件のセキュリティテストを 円滑に進める手段
- 1.
- 2. アウトライン • サービス企業の買収案件における セキュリティテストの重要性 • 買収案件の全体像 •円滑に進めるためのチェックポイント – テスト対象の把握 – ミーティングの事前準備 – 意思決定への関与 • まとめ
- 3. アウトライン • サービス企業の買収案件における セキュリティテストの重要性 • 買収案件の全体像 •円滑に進めるためのチェックポイント – テスト対象の把握 – ミーティングの事前準備 – 意思決定への関与 • まとめ
- 4. 背景 • 楽天はインターネットサービス企業 – ウェブアプリケーションを軸にビジネスを展開する •買収は楽天のビジネスを成長させる – インターネットサービス関連企業が買収の対象 – ウェブアプリケーションに価値を見出す • 買収による楽天のメリット – 既存サービスの強化 – 新規領域への早期参入 – グループシナジーによる楽天経済圏の成長
- 5. 買収案件の成功のために • ウェブアプリケーションの評価が重要となる – 経営層/ 事業の視点 • 買収先のアプリケーションが収益に貢献できるのか – エンジニアの視点 • システム統合に悪影響がないか • セキュリティは担保されているか
- 6.
- 7. セキュリティエンジニアの仕事 • リスクの洗い出し – 知的財産の侵害の可能性 –システム統合への悪影響の可能性 – 楽天ブランドイメージの低下 – コストの検討
- 8. アウトライン • サービス企業の買収案件における セキュリティの重要性 • 買収案件の全体像 •円滑に進めるためのチェックポイント – テスト対象の把握 – ミーティングの事前準備 – 意思決定への関与 • まとめ
- 9.
- 10.
- 11.
- 12. 仕事量 • 買収先の仕事量は膨大 – セキュリティ"だけ"に注力することはできない •全体最適のためにコンパクトに動く必要がある セキュリティチーム 開発チーム人事評価チーム 法務チーム事業評価チーム 事業規模・業績を 評価したい 優秀な人材の 有無を評価したい 各評価を踏まえ 契約書を作成したい 開発体制を 評価したい セキュリティ レベルを評価したい
- 13.
- 14. アウトライン • サービス企業の買収案件における セキュリティテストの重要性 • 買収案件の全体像 •円滑に進めるためのチェックポイント – テスト対象の把握 – ミーティングの事前準備 – 意思決定への関与 • まとめ
- 15. テスト対象の把握 • 時間制約により、優先順位をつけることが必要となる • テスト対象は買収後のビジネスプランに依存する •開発者は買収先のウェブアプリケーションの挙動を 把握していることがある セキュリティチーム 開発チーム事業評価チーム
- 16. 例 • 6 つのアプリケーションがテスト対象であった –A – B – C – D – E – F • テスト期間は最長でも 5 日であった
- 17. ディスカッションで分かったこと セキュリティチーム 開発チーム事業評価チーム E とF は close する予定です
- 18. ディスカッションで分かったこと セキュリティチーム 開発チーム事業評価チーム C は買収後にフルリライトする 予定です Eと F は close する予定です
- 19. ディスカッションで分かったこと セキュリティチーム 開発チーム事業評価チーム B は先方の 主力製品です Cは買収後にフルリライトする 予定です E と F は close する予定です
- 20. ディスカッションで分かったこと セキュリティチーム 開発チーム事業評価チーム B は先方の 主力製品です Aはお客様の個人情報を 含みます C は買収後にフルリライトする 予定です E と F は close する予定です
- 21. 決定事項 • ディスカッションにより下記の優先順位に決定 1. A(お客様の個人情報を含むため) 2. B (買収先の収益に関係するため) 3. C (フルリライトにより優先順位の低下) 4. D 5. E 6. F • 2 つのアプリケーションがテスト対象から削除
- 22. アウトライン • サービス企業の買収案件における セキュリティテストの重要性 • 買収案件の全体像 •円滑に進めるためのチェックポイント – テスト対象の把握 – ミーティングの事前準備 – 意思決定への関与 • まとめ
- 23. ミーティング事前準備 • テスト開始までの準備期間が少ない – スピード優先 •アサインされた同週にミーティングをする • その翌週には作業を開始する • セキュリティテストの経験が無いことが多数 – 短時間で準備を完了できるようにサポートする
- 24. 失敗例 セキュリティテストの目的は... セキュリティテストの実施方法は... サーバやミドルウェアのスペックを... Landing Pageの URL を... アプリケーションの全体の構成は... ネットワーク構成は... セキュリティテスト実施の 同意書の提出を... 契約締結までに 脆弱性を潰して... アプリケーションが提供する機能は... テスト環境はリモートからアクセス可能か? ご担当者の 連絡先は... セキュリティチーム
- 25. 失敗例 セキュリティテストの目的は... セキュリティテストの実施方法は... サーバやミドルウェアのスペックを... Landing Pageの URL を... アプリケーションの全体の構成は... ネットワーク構成は... セキュリティテスト実施の 同意書の提出を... 契約締結までに 脆弱性を潰して... アプリケーションが提供する機能は... テスト環境はリモートからアクセス可能か? ご担当者の 連絡先は... セキュリティチーム
- 26. 聞き出す項目を凝縮する • 大枠だけ固める – 脆弱性修正に関するルール –スケジュールの確認 – テスト環境の有無 – セキュリティテストに関する同意書の説明 – アプリケーションの全体構成
- 27. 工夫例 • テンプレートを用意する – 再利用可能なミーティングスライド –セキュリティテストで必要な情報を記載するシート – セキュリティテストの実施の同意書 • ミーティング前に渡す
- 28.
- 29. アウトライン • サービス企業の買収案件における セキュリティテストの重要性 • 買収案件の全体像 •円滑に進めるためのチェックポイント – テスト対象の把握 – ミーティングの事前準備 – 意思決定への関与 • まとめ
- 30. 意思決定への関与 • 脆弱性修正前に契約締結をする話が稀に出る – 事業部の戦略の都合 –経営層の戦略の都合 • リスクを把握させた上で決断させる – リスクを受容する場合 • フォローアッププランも用意する
- 31. ギャップを認識する コスト スピード KPI ROI セキュリティ •セキュリティの優先度が低くなりがち
- 32. ギャップを埋める KPI ROI • 優先度を上げる工夫をする コストスピード セキュリティ
- 33. 話が伝わらない例 2. XSS が多数 存在しております 1.HTTPS を 利用していないです 脆弱なアプリケーションです ??? セキュリティチーム 事業評価チーム • 事業の方たちの話題を含めていない
- 34. 工夫例 セキュリティチーム 事業評価チーム 1. パスワード情報が丸裸のため、お客様のログイン情報が 盗まれ、KPIを正しく測れない可能性があります 2. 悪意あるサイトに誘導できる脆弱性が多数存在します ブランドイメージが傷つき、ROI が減少する可能性が あります 契約締結日設定の 参考とします • 事業側の文脈を含めて伝える
- 35. 実例 • 半月〜1ヶ月ほど契約締結が早まる可能性があった • 下記の問題が修正しきれない可能性があった –HTTPS の未使用 – サポートが切れたソフトウェアの利用 • 最終的に契約の締結は早まらなかった – 脆弱性を修正した上で買収を実施した
- 36. アウトライン • サービス企業の買収案件における セキュリティテストの重要性 • 買収案件の全体像 •円滑に進めるためのチェックポイント – テスト対象の把握 – ミーティングの事前準備 – 意思決定への関与 • まとめ
- 37. まとめ • インターネットサービス企業の買収案件は ウェブアプリケーションのセキュリティテストが重要 – リスクを洗い出すことによりビジネスの成長を支える •コミュニケーションの質が仕事の質を決める