【SecurityxDiscussion】#1 DeNA・楽天・LINEとセキュリティについて語る夜に参加した

ヒカリエにあるDeNAさんで「【Security✕Discussion】#1 DeNA・楽天・LINEとセキュリティについて語る夜」というイベントが開催されたのでその時のメモです。

https://discussion-security.connpass.com/event/148055/

セキュリティポリシーの大改訂

  • DeNAさん
  • 岡村隆之さん
  • セキュリティチームのリーダー
  • ゲームで世界配信があると各国の法律が関わってくる
  • オートモーティブ事業では位置情報が関わってくる
  • 世の中と事業にあわせて改訂が必要
  • セキュリティをマネジメントするためにガバナンスがある → NIST
  • 具体的な方法はコントロールで定義する
  • コントロールが149個ある
  • 脅威情報を外部から取得→シナリオを作成→担当者へバトンタッチ(防御検知ツールの導入・授業員研修・インシデント対応計画)
  • 事業部やインフラ部門に確認して修正しつつ、全社的にコメントをもらう→ポリシーに落とし込む
  • モニタリングする
  • ポリシーに基づいて会社は動く
  • ポリシーが有効に機能しているか確認する→実態にあわなければポリシーを修正する、事業にあわないポリシーを見つける、会社の戦略にあわせる
  • PDCAをまわすことがポリシー改訂に必要

楽天のサイバーセキュリティの取り組み。攻撃事例を交えながら対策例の共有

  • 楽天さん
  • 福本佳成さん
  • 2002年に楽天入社
  • 初代楽天のセキュリティエンジニア
  • 2002年は脆弱性だらけのサイトばかり
  • 開発のセキュリティプロセスを構築
  • セキュリティ組織の設立
  • 2003年にセキュアコーディングを徹底
  • 新規で年間700プロジェクトの監査をおこなっている→監査=脆弱性チェック
  • 定期監査
  • 2007年にRakuten-CERT/2008年にCSIRTへ加盟
  • 2013年から不正ログイン試行が激増
  • 中国で楽天用の不正ログインツールが出回る
  • 連携して不正ログインサーバーを見つけて犯人逮捕
  • フィッシングサイトを停止できず、ドメインが作られ続ける
  • APWGにフィッシングサイトのデータベースがあって、各ブラウザが参照するようになった
  • 今は15分で更新されるようになった
  • トラフィックの30%は不正なアクセス
  • 楽天は日本初のOWASPスポンサー

情報セキュリティのお仕事と組織運営

  • LINEさん
  • 新美さん
  • 組織はITセキュリティ系(インフラやアプリ、脆弱性)の仕事と情報セキュリティ系(ポリシーや個人上情報保護)の仕事にわかれている
  • 若いメンバーが教育/クラウドサービスの審査等を担当
  • キャンペーンの情報取り扱い・文言審査・UXの確認を行っている
  • シニアメンバーがサービス横断で設計を行っている、弁護士や法務経験者、Pマーク運用者等が担当
  • DBで暗号化されているかなど、専任の技術者が担当
  • 各国法やニュース、トレンドを分析
  • 対外企画の立案〜実行
  • 法務機能を担う、仕事の基本は兼務(4チームで)、さまざまな専門家を登用
  • 企画→設計→実装→運用
  • 情報セキュリティの仕事は多様、悩みも多様

感想

今回は技術一辺倒というよりは、各社がどうやってセキュリティを担保するために取り組んでいるかという発表だったが、興味深い内容が多かったように思う。
DeNAさんのようにゲームで世界配信したり、配車アプリなどを提供していると多種多様な情報が得られるだろうし、セキュリティと一口に言ってもインフラやアプリケーションの脆弱性もあれば、個人情報の取り扱いに関するポリシーなども関わってくる。
その上で、DeNAさんはポリシーを定義してPDCAをまわしながら、世の中と事業にあわせてポリシーをアップデートしていっているというのは、適切でいて、且つ安心できるポリシーになるだろうと思う。
ガチガチに定義しただけで、実運用の伴わない、体外的なアピールのようなポリシーは運用者も指示者も疲弊して、事業にもそぐわないのおで誰もハッピーにならないのかもしれない。
人数がいて、知識や新しい動向のキャッチアップの得意な人が向いているのかもなーと思ったし、運用に則したポリシーであれば皆協力的かもしれない。
次に、楽天さんの発表者の方はセキュリティエンジニアのスペシャリスト中のスペシャリストと言った方だった。
2002年に楽天のセキュリティエンジニア第一号として入社して、ずっとセキュリティに関する取り組みを行っているようで、外には公開できない内容を惜しげもなく発表されていた。
ホワイトハッカーとはまさにこんな方を言うのだろうなと思いながら聞きつつ、楽天はセキュリティに関して日本でもトップクラスの取り組みをしているというのがわかったし、個人的には一番おもしろい話だった。
最後はLINEさんの取り組みの話で、どちらかというと組織構成の話が主だっていた。
やはり、複数形式のサービスを提供しているだけあって、かなり幅広く、組織的に取り組まれているというのがよくわかった。
特に、ジュニア、ミドル、シニアというような、知識レベル(もしくは年齢)層?で担当が別れていて、海外のトレンドを追ったり、分析をしたりしていて、大きい会社ならではのガッツリした取り組みをされている様子。
各部門に専門の担当者がいるようだったので、その辺は層が手厚そうだった。

セキュリティと言った際に、自分が何のレイヤーを指しているのか、今まであまり意識的に話していなかったように思っていて、おおよそ脆弱性のことくらいしか話していなかったと思う。
セキュリティを考えた場合、事業そのものが保有している情報だったり、保有する方法だったり、保有する範囲だったり、広告やキャンペーンを売ったり、そもそも事業が対外的に定義している情報だったり、考えられることは山程ある。
取り組みをする場合は、セキュリティのなんの部分かを意識しつつ、自社に必要なルールや運用の落とし込みを改めて考える良い機会になった。