SlideShare a Scribd company logo
1 of 35
Download to read offline
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
2018年5月7日
ヤフー株式会社 CISO室
ヤフーでHardeningを
実施する意味
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
わたくしはこんな人
2
太田 俊明 (おおた としあき)
ヤフー株式会社
CISO室セキュリティ監視室所属
Yahoo! JAPAN Hardening 責任者
日本シーサート協議会 インシデント対応訓練WG
●(本家)Hardening経験
Hardening 100 Value x Value 見学者
Hardening 2016 Weakest Link 見学者
Hardening 1010 Cash Flow 競技者
Hardening 2017 Fes MP参加
Micro Hardening V1.0 競技参加
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
本日おはなしすること
• Hardeningとは?
• イベント概要
• 演習シナリオ
• セキュリティ演習を実施する意味
3
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
Hardeningとは?
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
Hardeningとは何か?
サイトを運営する担当者となり、
「多様なサイバー攻撃に対応しながら、
サービスの売り上げを競う」
実践型セキュリティ総合演習のこと。
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
セキュリティサービス
目的は?
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
(本家)Hardening
7
主催:
WASForum(Web Application Security Forum)
Hardening Project実行委員会
https://wasforum.jp/hardening-project/
共催:
内閣府 沖縄総合事務局
備考:
2012年より年2回程度開催。各回の参加者は100名前後。
http://www.qab.co.jp/news/2016110484925.html
琉球朝日放送(QAB)より引用
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのHardening とは?
8
• チームに属している非エンジニア職の比率を高めに設定
• ユーザー・メディア対応シナリオをより厚めにし、技術対応と
対外対応の両面を問うシナリオを実施
(本家)Hardeningの思想をベースに
全従業員向けの演習としてカスタマイズ
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
イベント概要
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
10/12 Hardening Day(競技日)
10/13 Softening Day(振り返り日)
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
主催協賛 協力
参加グループ企業
ワイズ・スポーツ株式会社バリューコマース株式会社
ダイナテック株式会社
シナジーマーケティング株式会社
アスクル株式会社
ワイジェイカード株式会社
株式会社GYAO
株式会社カービュー
パスレボ株式会社
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのHardeningとは?
12
技術攻撃
シナリオ
競技環境
(サーバ) 対外対応
シナリオ
本家Hardeningの思想
競技環境(インフラ)
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
チーム構成
実施概要【参加者】
13
コアメンバー:
6名(実働3人/月程度)
RedTeam(攻撃担当):
約25名
サポートスタッフ:
約25名
競技者
エンジニア
企画 広報
CS(カスタマサポート)
1チームを8名〜10名で構成
9チーム構成(8名〜10名/チーム) =
81名
※サービスを運営する各組織より競
技者をアサイン
スタッフ 来賓
約30名
(本家)Hardeningで関わりのあ
る方を中心にお声がけ
感想やコメントなど、フィード
バックをいただく
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - 組織図
14
石切山社長
SM
(サービスマネージャー)
企画 広報CS
(カスタマーサポート)
技術
情報システム本部
冨川執行役員
コーポレート統括本部
神田執行役員
セキュリティ研究所
戸田執行役員
社員旅行満喫中
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - 参加者の役割
15
SM
(サービスマネージャー)
企画 広報CS
(カスタマーサポート)
技術
Blue Team
Red Team(Outside)
対外対応
Red Team(Inside)
技術対応
早期警戒情報
サイト役
ユーザー役
マスメディア
役
White Team
イベント運営
( back office)
受付
司会
撮影・実況
SNS役社長役技術攻撃役
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - システム構成図
16
紀尾井町セミナールーム
競技環境,
120
運営環境,
27
検証環境,
26
合計173台
競技環境 運営環境 検証環境
総コア数:343コア
NW規模:32セグメント
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - ECサイトA
17
なぜファッション?
コンセプト(Twinkle Fashions)
 コンセプトは「キラキラ」
 若年層をターゲットとしたページ
 販売物:ファストファッション
 安価
 流行のオープンソースをふんだんに取り入れ
た、イマドキのシステム/画面構成
 つい最近作成され運用が始まった、という設定
画像:アフロ
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - ECサイトB
18
コンセプト(Traditional Bonsai)
 コンセプトは「レガシー」
 高齢層をターゲットとしたページ
 販売物:盆栽
 高価
 昔ながらの技術を用いた、古いシステム/画面
構成
 昔から運営されている、という設定
盆栽、なぜ?
画像:アフロ
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - その他のサイト
19
コーポレートサイト SNS(掲示板) 早期警戒情報サイト
画像:アフロ
画像:アフロ
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - その他のサイト
20
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習シナリオ
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
シナリオ
• 標的型メール攻撃
• ECサイト改ざん
• クライアント端末乗っ取り
• サーバリブート
• Corpサイト改ざん
• 個人情報漏洩
• ECサイトデータ全消失
• ランサムウェア感染
• Outside攻撃
7時間の競技の中で26回の攻撃を敢行
• アカウント棚卸し
• ソフトウェアの申請・管理
• 怪しいメールは開かない
• パッチの適用
などなど。
日常のセキュリティ対応を
実施すれば十分対応可能
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
シナリオ
え?あ?やられてる。。
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
シナリオ
あ・・・?
どこまで対応すれば良いのよ?
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
シナリオ
お客様直接来社の恐怖!
「俺の情報が漏れてっから、どう
なってんのって聞いてんの。」
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
評価軸
26
売上 技術
広報 顧客対応
サービス
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
評価軸設定指針#1
27
売上 ECサイトの売上を評価
技術 自社サイト・ネットワーク・ソフトウェア等の
技術対応力を評価
広報 メディアに対する対応力を評価
顧客対応 お客様に対する対応力を評価
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
評価軸設定指針#2
28
サービス 既存の4軸以外の全てをサービス軸で評
価。
・社長への報告・相談
・サービス運営状況
・競技への取り組み方・姿勢
など。
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
評価結果
チーム名 売上(万円) 技術
(10点中)
広報 顧客対応 サービス
(サービスマネジメント)
EC連合 8,314 4.0
(未公表)
3.5 5.0
Benkei 8,665 5.2 4.8 8.0
Sponavi+++ 1,326 4.9 5.0 6.0
MAMO2 6,476 4.6 5.0 6.0
ヤフオク! 8,039 5.6 3.5 7.0
PSC 12,601 4.4 3.8 5.0
メルゾン 9,091 4.4 3.8 5.0
IDentity 8,897 5.7 3.8 6.0
データ守り隊 10,413 5.6 5.8 8.029
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
最優秀賞
30
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
セキュリティ演習を
実施する意味
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
実施する意味#1
• サイバー攻撃がどういうものなか、その現実(リアリティ)を知らない
従業員がたくさんいる
インシデント対応経験の
ある人を増やす
(※ここでの「インシデント」とは大規模な攻撃や事故を意味する)
• 被害をできるだけ軽減化する為にも、多くの従業員に「現実(リアリ
ティ)」を知っていただく必要がある
• 一方で攻撃を受けた際に対応するのは現場の従業員である
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
実施する意味#2
• 従業員に「セキュリティは重要ですか?」と問えば、ほぼ全ての人がYesと答え
る
• それをどれくらいの深度で理解しているか?
• 認識は人により違う
「セキュリティは重要」
の根底理解
• インシデントを体験する事で、改めてセキュリティの重要さを再認識いただく
• 結果として、受動的なセキュリティ対応をしていた人が、より能動的な対
応へシフトする!
• 従業員のセキュリティへの理解が増せば、セキュリティの推進活動もより
進めやすくなる
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
実施する意味#3
• 別組織のメンバーと共に戦う事で、お互いの組織に対する相互理解が深まる
社員全員が
組織力を活かす
• 結果として企業力そのものの向上につながる
• 理解が深まることで、効果的なインシデント対応が期待できる
• 通常の業務においてもシナジー効果が活かされる
Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
ご静聴ありがとう
ございました

More Related Content

What's hot

YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知
YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知
YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知Yahoo!デベロッパーネットワーク
 
ヤフオク!の快適なカスタマー体験を支えるモバイルアプリのライブアップデート技術
ヤフオク!の快適なカスタマー体験を支えるモバイルアプリのライブアップデート技術ヤフオク!の快適なカスタマー体験を支えるモバイルアプリのライブアップデート技術
ヤフオク!の快適なカスタマー体験を支えるモバイルアプリのライブアップデート技術Yahoo!デベロッパーネットワーク
 
行列ができるECサイトの悩み~ショッピングや決済の技術的問題と処方箋
行列ができるECサイトの悩み~ショッピングや決済の技術的問題と処方箋行列ができるECサイトの悩み~ショッピングや決済の技術的問題と処方箋
行列ができるECサイトの悩み~ショッピングや決済の技術的問題と処方箋Yahoo!デベロッパーネットワーク
 
ヤフーの広告レポートシステムをSpring Cloud Stream化するまで #jjug_ccc #ccc_a4
ヤフーの広告レポートシステムをSpring Cloud Stream化するまで #jjug_ccc #ccc_a4ヤフーの広告レポートシステムをSpring Cloud Stream化するまで #jjug_ccc #ccc_a4
ヤフーの広告レポートシステムをSpring Cloud Stream化するまで #jjug_ccc #ccc_a4Yahoo!デベロッパーネットワーク
 
通販開発部の西田さん「通販開発マネジメントの5ルール」
通販開発部の西田さん「通販開発マネジメントの5ルール」通販開発部の西田さん「通販開発マネジメントの5ルール」
通販開発部の西田さん「通販開発マネジメントの5ルール」虎の穴 開発室
 
Yahoo!ニュースにおけるBFFパフォーマンスチューニング事例
Yahoo!ニュースにおけるBFFパフォーマンスチューニング事例Yahoo!ニュースにおけるBFFパフォーマンスチューニング事例
Yahoo!ニュースにおけるBFFパフォーマンスチューニング事例Yahoo!デベロッパーネットワーク
 
Netadashi Meetup #6 20170629
Netadashi Meetup #6 20170629Netadashi Meetup #6 20170629
Netadashi Meetup #6 20170629Shigeki Morizane
 
虎の穴ラボ エンジニア採用説明資料
虎の穴ラボ エンジニア採用説明資料 虎の穴ラボ エンジニア採用説明資料
虎の穴ラボ エンジニア採用説明資料 虎の穴 開発室
 
オタクエンジニアを熱くさせる!モチベーションと効率をあげるチームビルディング_20210611_TechDay#1_3
オタクエンジニアを熱くさせる!モチベーションと効率をあげるチームビルディング_20210611_TechDay#1_3オタクエンジニアを熱くさせる!モチベーションと効率をあげるチームビルディング_20210611_TechDay#1_3
オタクエンジニアを熱くさせる!モチベーションと効率をあげるチームビルディング_20210611_TechDay#1_3虎の穴 開発室
 
エクストリーム・プログラミング開発におけるUIテスト #yjbonfire
エクストリーム・プログラミング開発におけるUIテスト #yjbonfireエクストリーム・プログラミング開発におけるUIテスト #yjbonfire
エクストリーム・プログラミング開発におけるUIテスト #yjbonfireYahoo!デベロッパーネットワーク
 
0から1へ、1からその先の未来へ!とらのあなラボのエンジニア採用
0から1へ、1からその先の未来へ!とらのあなラボのエンジニア採用0から1へ、1からその先の未来へ!とらのあなラボのエンジニア採用
0から1へ、1からその先の未来へ!とらのあなラボのエンジニア採用虎の穴 開発室
 

What's hot (20)

Yahoo! JAPAN MEETUP #21~Gitを使ったチーム開発体験@名古屋~
Yahoo! JAPAN MEETUP #21~Gitを使ったチーム開発体験@名古屋~ Yahoo! JAPAN MEETUP #21~Gitを使ったチーム開発体験@名古屋~
Yahoo! JAPAN MEETUP #21~Gitを使ったチーム開発体験@名古屋~
 
Googleアシスタントアプリ実際のところ
Googleアシスタントアプリ実際のところ Googleアシスタントアプリ実際のところ
Googleアシスタントアプリ実際のところ
 
YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略
 
Graal を Solr で使ってみた #SolrJP
Graal を Solr で使ってみた #SolrJPGraal を Solr で使ってみた #SolrJP
Graal を Solr で使ってみた #SolrJP
 
YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知
YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知
YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知
 
ヤフオク!の快適なカスタマー体験を支えるモバイルアプリのライブアップデート技術
ヤフオク!の快適なカスタマー体験を支えるモバイルアプリのライブアップデート技術ヤフオク!の快適なカスタマー体験を支えるモバイルアプリのライブアップデート技術
ヤフオク!の快適なカスタマー体験を支えるモバイルアプリのライブアップデート技術
 
YJTC18 Keynote Shape the Future - through the Power of Technology
YJTC18 Keynote Shape the Future - through the Power of TechnologyYJTC18 Keynote Shape the Future - through the Power of Technology
YJTC18 Keynote Shape the Future - through the Power of Technology
 
行列ができるECサイトの悩み~ショッピングや決済の技術的問題と処方箋
行列ができるECサイトの悩み~ショッピングや決済の技術的問題と処方箋行列ができるECサイトの悩み~ショッピングや決済の技術的問題と処方箋
行列ができるECサイトの悩み~ショッピングや決済の技術的問題と処方箋
 
Prestoクエリログの保存/分析機能の構築 #yjdsnight
Prestoクエリログの保存/分析機能の構築 #yjdsnightPrestoクエリログの保存/分析機能の構築 #yjdsnight
Prestoクエリログの保存/分析機能の構築 #yjdsnight
 
タブブラウザSDKを作った話 #yjcamp
タブブラウザSDKを作った話 #yjcampタブブラウザSDKを作った話 #yjcamp
タブブラウザSDKを作った話 #yjcamp
 
市場で勝ち続けるための品質とテストの技術①
市場で勝ち続けるための品質とテストの技術①市場で勝ち続けるための品質とテストの技術①
市場で勝ち続けるための品質とテストの技術①
 
Go + Pulsar WebSocket APIの利用事例 #pulsarjp
Go + Pulsar WebSocket APIの利用事例 #pulsarjpGo + Pulsar WebSocket APIの利用事例 #pulsarjp
Go + Pulsar WebSocket APIの利用事例 #pulsarjp
 
ヤフーの広告レポートシステムをSpring Cloud Stream化するまで #jjug_ccc #ccc_a4
ヤフーの広告レポートシステムをSpring Cloud Stream化するまで #jjug_ccc #ccc_a4ヤフーの広告レポートシステムをSpring Cloud Stream化するまで #jjug_ccc #ccc_a4
ヤフーの広告レポートシステムをSpring Cloud Stream化するまで #jjug_ccc #ccc_a4
 
通販開発部の西田さん「通販開発マネジメントの5ルール」
通販開発部の西田さん「通販開発マネジメントの5ルール」通販開発部の西田さん「通販開発マネジメントの5ルール」
通販開発部の西田さん「通販開発マネジメントの5ルール」
 
Yahoo!ニュースにおけるBFFパフォーマンスチューニング事例
Yahoo!ニュースにおけるBFFパフォーマンスチューニング事例Yahoo!ニュースにおけるBFFパフォーマンスチューニング事例
Yahoo!ニュースにおけるBFFパフォーマンスチューニング事例
 
Netadashi Meetup #6 20170629
Netadashi Meetup #6 20170629Netadashi Meetup #6 20170629
Netadashi Meetup #6 20170629
 
虎の穴ラボ エンジニア採用説明資料
虎の穴ラボ エンジニア採用説明資料 虎の穴ラボ エンジニア採用説明資料
虎の穴ラボ エンジニア採用説明資料
 
オタクエンジニアを熱くさせる!モチベーションと効率をあげるチームビルディング_20210611_TechDay#1_3
オタクエンジニアを熱くさせる!モチベーションと効率をあげるチームビルディング_20210611_TechDay#1_3オタクエンジニアを熱くさせる!モチベーションと効率をあげるチームビルディング_20210611_TechDay#1_3
オタクエンジニアを熱くさせる!モチベーションと効率をあげるチームビルディング_20210611_TechDay#1_3
 
エクストリーム・プログラミング開発におけるUIテスト #yjbonfire
エクストリーム・プログラミング開発におけるUIテスト #yjbonfireエクストリーム・プログラミング開発におけるUIテスト #yjbonfire
エクストリーム・プログラミング開発におけるUIテスト #yjbonfire
 
0から1へ、1からその先の未来へ!とらのあなラボのエンジニア採用
0から1へ、1からその先の未来へ!とらのあなラボのエンジニア採用0から1へ、1からその先の未来へ!とらのあなラボのエンジニア採用
0から1へ、1からその先の未来へ!とらのあなラボのエンジニア採用
 

Similar to ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)

ソフトウェアジャパン2018 ITフォーラムセッション(3)
ソフトウェアジャパン2018 ITフォーラムセッション(3)ソフトウェアジャパン2018 ITフォーラムセッション(3)
ソフトウェアジャパン2018 ITフォーラムセッション(3)aitc_jp
 
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応JPAAWG (Japan Anti-Abuse Working Group)
 
ドメイン駆動設計とマイクロサービス
ドメイン駆動設計とマイクロサービスドメイン駆動設計とマイクロサービス
ドメイン駆動設計とマイクロサービスkouki_mitsuishi
 
Terraform with Bitbucket pipeline
Terraform with Bitbucket pipelineTerraform with Bitbucket pipeline
Terraform with Bitbucket pipelineMasatomo Ito
 
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumi
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumiYahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumi
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumiYahoo!デベロッパーネットワーク
 
誰でもできるGoogleアシスタント開発
誰でもできるGoogleアシスタント開発誰でもできるGoogleアシスタント開発
誰でもできるGoogleアシスタント開発Namito Satoyama
 
2018年12月15日 AITC女子会 顔認識を活用したセミナー参加者の満足度分析
2018年12月15日 AITC女子会 顔認識を活用したセミナー参加者の満足度分析2018年12月15日 AITC女子会 顔認識を活用したセミナー参加者の満足度分析
2018年12月15日 AITC女子会 顔認識を活用したセミナー参加者の満足度分析aitc_jp
 
kintonehive資料ca鹿倉氏
kintonehive資料ca鹿倉氏kintonehive資料ca鹿倉氏
kintonehive資料ca鹿倉氏Cybozucommunity
 
GDC2018報告会AI分野
GDC2018報告会AI分野GDC2018報告会AI分野
GDC2018報告会AI分野IGDA JAPAN
 
Yahoo!プロモーション広告のビックデータ基盤を支える技術と今後の展望
Yahoo!プロモーション広告のビックデータ基盤を支える技術と今後の展望Yahoo!プロモーション広告のビックデータ基盤を支える技術と今後の展望
Yahoo!プロモーション広告のビックデータ基盤を支える技術と今後の展望Yahoo!デベロッパーネットワーク
 

Similar to ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec) (20)

Yahoo!ファイナンスでの開発
Yahoo!ファイナンスでの開発Yahoo!ファイナンスでの開発
Yahoo!ファイナンスでの開発
 
現場のインフラエンジニアから見たヤフー #ヤフー名古屋
現場のインフラエンジニアから見たヤフー #ヤフー名古屋現場のインフラエンジニアから見たヤフー #ヤフー名古屋
現場のインフラエンジニアから見たヤフー #ヤフー名古屋
 
ソフトウェアジャパン2018 ITフォーラムセッション(3)
ソフトウェアジャパン2018 ITフォーラムセッション(3)ソフトウェアジャパン2018 ITフォーラムセッション(3)
ソフトウェアジャパン2018 ITフォーラムセッション(3)
 
Yahoo!ニュースにおける開発手法の取り組み
Yahoo!ニュースにおける開発手法の取り組みYahoo!ニュースにおける開発手法の取り組み
Yahoo!ニュースにおける開発手法の取り組み
 
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
 
Yahoo!ショッピングの サービス開発
Yahoo!ショッピングの サービス開発Yahoo!ショッピングの サービス開発
Yahoo!ショッピングの サービス開発
 
Yahoo! JAPANの不正投稿対策 #yjmu
Yahoo! JAPANの不正投稿対策 #yjmu Yahoo! JAPANの不正投稿対策 #yjmu
Yahoo! JAPANの不正投稿対策 #yjmu
 
Bonfire API #1 生体認証のAPI化
Bonfire API #1 生体認証のAPI化Bonfire API #1 生体認証のAPI化
Bonfire API #1 生体認証のAPI化
 
JSUG 2018 BTC
JSUG 2018 BTCJSUG 2018 BTC
JSUG 2018 BTC
 
ドメイン駆動設計とマイクロサービス
ドメイン駆動設計とマイクロサービスドメイン駆動設計とマイクロサービス
ドメイン駆動設計とマイクロサービス
 
Terraform with Bitbucket pipeline
Terraform with Bitbucket pipelineTerraform with Bitbucket pipeline
Terraform with Bitbucket pipeline
 
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumi
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumiYahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumi
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumi
 
誰でもできるGoogleアシスタント開発
誰でもできるGoogleアシスタント開発誰でもできるGoogleアシスタント開発
誰でもできるGoogleアシスタント開発
 
ヤフーの次世代パイプラインについて#yjdsw3
ヤフーの次世代パイプラインについて#yjdsw3ヤフーの次世代パイプラインについて#yjdsw3
ヤフーの次世代パイプラインについて#yjdsw3
 
Toolsの杜- 弥生株式会社の自動仕訳エンジンを支えるフロントエンド ~ 「ダサいは、バグだ!」を標榜してUXを徹底的に追求する ~
Toolsの杜- 弥生株式会社の自動仕訳エンジンを支えるフロントエンド ~ 「ダサいは、バグだ!」を標榜してUXを徹底的に追求する ~Toolsの杜- 弥生株式会社の自動仕訳エンジンを支えるフロントエンド ~ 「ダサいは、バグだ!」を標榜してUXを徹底的に追求する ~
Toolsの杜- 弥生株式会社の自動仕訳エンジンを支えるフロントエンド ~ 「ダサいは、バグだ!」を標榜してUXを徹底的に追求する ~
 
2018年12月15日 AITC女子会 顔認識を活用したセミナー参加者の満足度分析
2018年12月15日 AITC女子会 顔認識を活用したセミナー参加者の満足度分析2018年12月15日 AITC女子会 顔認識を活用したセミナー参加者の満足度分析
2018年12月15日 AITC女子会 顔認識を活用したセミナー参加者の満足度分析
 
kintonehive資料ca鹿倉氏
kintonehive資料ca鹿倉氏kintonehive資料ca鹿倉氏
kintonehive資料ca鹿倉氏
 
GDC2018報告会AI分野
GDC2018報告会AI分野GDC2018報告会AI分野
GDC2018報告会AI分野
 
Yahoo!プロモーション広告のビックデータ基盤を支える技術と今後の展望
Yahoo!プロモーション広告のビックデータ基盤を支える技術と今後の展望Yahoo!プロモーション広告のビックデータ基盤を支える技術と今後の展望
Yahoo!プロモーション広告のビックデータ基盤を支える技術と今後の展望
 

More from Yahoo!デベロッパーネットワーク

ヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるかヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるかYahoo!デベロッパーネットワーク
 
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2Yahoo!デベロッパーネットワーク
 
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtcヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtcYahoo!デベロッパーネットワーク
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo!デベロッパーネットワーク
 
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtcヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtcYahoo!デベロッパーネットワーク
 
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtcYahoo!デベロッパーネットワーク
 
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtcPC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtcYahoo!デベロッパーネットワーク
 
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtcモブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtcYahoo!デベロッパーネットワーク
 
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtcユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtcYahoo!デベロッパーネットワーク
 

More from Yahoo!デベロッパーネットワーク (20)

ゼロから始める転移学習
ゼロから始める転移学習ゼロから始める転移学習
ゼロから始める転移学習
 
継続的なモデルモニタリングを実現するKubernetes Operator
継続的なモデルモニタリングを実現するKubernetes Operator継続的なモデルモニタリングを実現するKubernetes Operator
継続的なモデルモニタリングを実現するKubernetes Operator
 
ヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるかヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるか
 
オンプレML基盤on Kubernetes パネルディスカッション
オンプレML基盤on Kubernetes パネルディスカッションオンプレML基盤on Kubernetes パネルディスカッション
オンプレML基盤on Kubernetes パネルディスカッション
 
LakeTahoe
LakeTahoeLakeTahoe
LakeTahoe
 
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
 
Persistent-memory-native Database High-availability Feature
Persistent-memory-native Database High-availability FeaturePersistent-memory-native Database High-availability Feature
Persistent-memory-native Database High-availability Feature
 
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
 
eコマースと実店舗の相互利益を目指したデザイン #yjtc
eコマースと実店舗の相互利益を目指したデザイン #yjtceコマースと実店舗の相互利益を目指したデザイン #yjtc
eコマースと実店舗の相互利益を目指したデザイン #yjtc
 
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtcヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
 
ビッグデータから人々のムードを捉える #yjtc
ビッグデータから人々のムードを捉える #yjtcビッグデータから人々のムードを捉える #yjtc
ビッグデータから人々のムードを捉える #yjtc
 
サイエンス領域におけるMLOpsの取り組み #yjtc
サイエンス領域におけるMLOpsの取り組み #yjtcサイエンス領域におけるMLOpsの取り組み #yjtc
サイエンス領域におけるMLOpsの取り組み #yjtc
 
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtcヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
 
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtcYahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
 
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
 
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtcPC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
 
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtcモブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
 
「新しいおうち探し」のためのAIアシスト検索 #yjtc
「新しいおうち探し」のためのAIアシスト検索 #yjtc「新しいおうち探し」のためのAIアシスト検索 #yjtc
「新しいおうち探し」のためのAIアシスト検索 #yjtc
 
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtcユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
 

Recently uploaded

IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価sugiuralab
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000Shota Ito
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールsugiuralab
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ       2024/04/12の勉強会で発表されたものです。新人研修のまとめ       2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 

Recently uploaded (7)

IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツール
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ       2024/04/12の勉強会で発表されたものです。新人研修のまとめ       2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
 

ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)

  • 1. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 2018年5月7日 ヤフー株式会社 CISO室 ヤフーでHardeningを 実施する意味
  • 2. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. わたくしはこんな人 2 太田 俊明 (おおた としあき) ヤフー株式会社 CISO室セキュリティ監視室所属 Yahoo! JAPAN Hardening 責任者 日本シーサート協議会 インシデント対応訓練WG ●(本家)Hardening経験 Hardening 100 Value x Value 見学者 Hardening 2016 Weakest Link 見学者 Hardening 1010 Cash Flow 競技者 Hardening 2017 Fes MP参加 Micro Hardening V1.0 競技参加
  • 3. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 本日おはなしすること • Hardeningとは? • イベント概要 • 演習シナリオ • セキュリティ演習を実施する意味 3
  • 4. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. Hardeningとは?
  • 5. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. Hardeningとは何か? サイトを運営する担当者となり、 「多様なサイバー攻撃に対応しながら、 サービスの売り上げを競う」 実践型セキュリティ総合演習のこと。
  • 6. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. セキュリティサービス 目的は?
  • 7. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. (本家)Hardening 7 主催: WASForum(Web Application Security Forum) Hardening Project実行委員会 https://wasforum.jp/hardening-project/ 共催: 内閣府 沖縄総合事務局 備考: 2012年より年2回程度開催。各回の参加者は100名前後。 http://www.qab.co.jp/news/2016110484925.html 琉球朝日放送(QAB)より引用
  • 8. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーのHardening とは? 8 • チームに属している非エンジニア職の比率を高めに設定 • ユーザー・メディア対応シナリオをより厚めにし、技術対応と 対外対応の両面を問うシナリオを実施 (本家)Hardeningの思想をベースに 全従業員向けの演習としてカスタマイズ
  • 9. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. イベント概要
  • 10. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 10/12 Hardening Day(競技日) 10/13 Softening Day(振り返り日)
  • 11. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 主催協賛 協力 参加グループ企業 ワイズ・スポーツ株式会社バリューコマース株式会社 ダイナテック株式会社 シナジーマーケティング株式会社 アスクル株式会社 ワイジェイカード株式会社 株式会社GYAO 株式会社カービュー パスレボ株式会社
  • 12. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーのHardeningとは? 12 技術攻撃 シナリオ 競技環境 (サーバ) 対外対応 シナリオ 本家Hardeningの思想 競技環境(インフラ)
  • 13. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. チーム構成 実施概要【参加者】 13 コアメンバー: 6名(実働3人/月程度) RedTeam(攻撃担当): 約25名 サポートスタッフ: 約25名 競技者 エンジニア 企画 広報 CS(カスタマサポート) 1チームを8名〜10名で構成 9チーム構成(8名〜10名/チーム) = 81名 ※サービスを運営する各組織より競 技者をアサイン スタッフ 来賓 約30名 (本家)Hardeningで関わりのあ る方を中心にお声がけ 感想やコメントなど、フィード バックをいただく
  • 14. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 演習設定 - 組織図 14 石切山社長 SM (サービスマネージャー) 企画 広報CS (カスタマーサポート) 技術 情報システム本部 冨川執行役員 コーポレート統括本部 神田執行役員 セキュリティ研究所 戸田執行役員 社員旅行満喫中
  • 15. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 演習設定 - 参加者の役割 15 SM (サービスマネージャー) 企画 広報CS (カスタマーサポート) 技術 Blue Team Red Team(Outside) 対外対応 Red Team(Inside) 技術対応 早期警戒情報 サイト役 ユーザー役 マスメディア 役 White Team イベント運営 ( back office) 受付 司会 撮影・実況 SNS役社長役技術攻撃役
  • 16. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 演習設定 - システム構成図 16 紀尾井町セミナールーム 競技環境, 120 運営環境, 27 検証環境, 26 合計173台 競技環境 運営環境 検証環境 総コア数:343コア NW規模:32セグメント
  • 17. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 演習設定 - ECサイトA 17 なぜファッション? コンセプト(Twinkle Fashions)  コンセプトは「キラキラ」  若年層をターゲットとしたページ  販売物:ファストファッション  安価  流行のオープンソースをふんだんに取り入れ た、イマドキのシステム/画面構成  つい最近作成され運用が始まった、という設定 画像:アフロ
  • 18. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 演習設定 - ECサイトB 18 コンセプト(Traditional Bonsai)  コンセプトは「レガシー」  高齢層をターゲットとしたページ  販売物:盆栽  高価  昔ながらの技術を用いた、古いシステム/画面 構成  昔から運営されている、という設定 盆栽、なぜ? 画像:アフロ
  • 19. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 演習設定 - その他のサイト 19 コーポレートサイト SNS(掲示板) 早期警戒情報サイト 画像:アフロ 画像:アフロ
  • 20. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 演習設定 - その他のサイト 20
  • 21. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 演習シナリオ
  • 22. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. シナリオ • 標的型メール攻撃 • ECサイト改ざん • クライアント端末乗っ取り • サーバリブート • Corpサイト改ざん • 個人情報漏洩 • ECサイトデータ全消失 • ランサムウェア感染 • Outside攻撃 7時間の競技の中で26回の攻撃を敢行 • アカウント棚卸し • ソフトウェアの申請・管理 • 怪しいメールは開かない • パッチの適用 などなど。 日常のセキュリティ対応を 実施すれば十分対応可能
  • 23. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. シナリオ え?あ?やられてる。。
  • 24. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. シナリオ あ・・・? どこまで対応すれば良いのよ?
  • 25. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. シナリオ お客様直接来社の恐怖! 「俺の情報が漏れてっから、どう なってんのって聞いてんの。」
  • 26. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 評価軸 26 売上 技術 広報 顧客対応 サービス
  • 27. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 評価軸設定指針#1 27 売上 ECサイトの売上を評価 技術 自社サイト・ネットワーク・ソフトウェア等の 技術対応力を評価 広報 メディアに対する対応力を評価 顧客対応 お客様に対する対応力を評価
  • 28. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 評価軸設定指針#2 28 サービス 既存の4軸以外の全てをサービス軸で評 価。 ・社長への報告・相談 ・サービス運営状況 ・競技への取り組み方・姿勢 など。
  • 29. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 評価結果 チーム名 売上(万円) 技術 (10点中) 広報 顧客対応 サービス (サービスマネジメント) EC連合 8,314 4.0 (未公表) 3.5 5.0 Benkei 8,665 5.2 4.8 8.0 Sponavi+++ 1,326 4.9 5.0 6.0 MAMO2 6,476 4.6 5.0 6.0 ヤフオク! 8,039 5.6 3.5 7.0 PSC 12,601 4.4 3.8 5.0 メルゾン 9,091 4.4 3.8 5.0 IDentity 8,897 5.7 3.8 6.0 データ守り隊 10,413 5.6 5.8 8.029
  • 30. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 最優秀賞 30
  • 31. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. セキュリティ演習を 実施する意味
  • 32. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 実施する意味#1 • サイバー攻撃がどういうものなか、その現実(リアリティ)を知らない 従業員がたくさんいる インシデント対応経験の ある人を増やす (※ここでの「インシデント」とは大規模な攻撃や事故を意味する) • 被害をできるだけ軽減化する為にも、多くの従業員に「現実(リアリ ティ)」を知っていただく必要がある • 一方で攻撃を受けた際に対応するのは現場の従業員である
  • 33. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 実施する意味#2 • 従業員に「セキュリティは重要ですか?」と問えば、ほぼ全ての人がYesと答え る • それをどれくらいの深度で理解しているか? • 認識は人により違う 「セキュリティは重要」 の根底理解 • インシデントを体験する事で、改めてセキュリティの重要さを再認識いただく • 結果として、受動的なセキュリティ対応をしていた人が、より能動的な対 応へシフトする! • 従業員のセキュリティへの理解が増せば、セキュリティの推進活動もより 進めやすくなる
  • 34. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 実施する意味#3 • 別組織のメンバーと共に戦う事で、お互いの組織に対する相互理解が深まる 社員全員が 組織力を活かす • 結果として企業力そのものの向上につながる • 理解が深まることで、効果的なインシデント対応が期待できる • 通常の業務においてもシナジー効果が活かされる
  • 35. Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. ご静聴ありがとう ございました