ヒカリエにあるDeNAさんで「【Security✕Discussion】#1 DeNA・楽天・LINEとセキュリティについて語る夜」というイベントが開催されたのでその時のメモです。 https://discussion-security.connpass.com/event/148055/ セキュリティポリシーの大改訂 DeNAさん 岡村隆之さん セキュリティチームのリーダー ゲームで世界配信があると各国の法律が関わってくる オートモーティブ事業では位置情報が関わってくる 世の中と事業にあわせて改訂が必要 セキュリティをマネジメントするためにガバナンスがある → NIST 具体的な方法はコントロールで定義する コントロールが149個ある 脅威情報を外部から取得→シナリオを作成→担当者へバトンタッチ（防御検知ツールの導入・授業員研修・インシデント対応計画） 事業部やインフラ部門に確認して修正しつつ、全社的にコメントをもらう→ポリシーに落とし込む モニタリングする ポリシーに基づいて会社は動く ポリシーが有効に機能しているか確認する→実態にあわなければポリシーを修正する、事業にあわないポリシーを見つける、会社の戦略にあわせる PDCAをまわすことがポリシー改訂に必要 楽天のサイバーセキュリティの取り組み。攻撃事例を交えながら対策例の共有 楽天さん 福本佳成さん 2002年に楽天入社 初代楽天のセキュリティエンジニア 2002年は脆弱性だらけのサイトばかり 開発のセキュリティプロセスを構築 セキュリティ組織の設立 2003年にセキュアコーディングを徹底 新規で年間700プロジェクトの監査をおこなっている→監査=脆弱性チェック 定期監査 2007年にRakuten-CERT/2008年にCSIRTへ加盟 2013年から不正ログイン試行が激増 中国で楽天用の不正ログインツールが出回る 連携して不正ログインサーバーを見つけて犯人逮捕 フィッシングサイトを停止できず、ドメインが作られ続ける APWGにフィッシングサイトのデータベースがあって、各ブラウザが参照するようになった 今は15分で更新されるようになった トラフィックの30％は不正なアクセス 楽天は日本初のOWASPスポンサー 情報セキュリティのお仕事と組織運営 LINEさん 新美さん 組織はITセキュリティ系（インフラやアプリ、脆弱性）の仕事と情報セキュリティ系（ポリシーや個人上情報保護）の仕事にわかれている 若いメンバーが教育/クラウドサービスの審査等を担当 キャンペーンの情報取り扱い・文言審査・UXの確認を行っている シニアメンバーがサービス横断で設計を行っている、弁護士や法務経験者、Pマーク運用者等が担当 DBで暗号化されているかなど、専任の技術者が担当 各国法やニュース、トレンドを分析 対外企画の立案〜実行 法務機能を担う、仕事の基本は兼務（4チームで）、さまざまな専門家を登用 企画→設計→実装→運用 情報セキュリティの仕事は多様、悩みも多様 感想 今回は技術一辺倒というよりは、各社がどうやってセキュリティを担保するために取り組んでいるかという発表だったが、興味深い内容が多かったように思う。 DeNAさんのようにゲームで世界配信したり、配車アプリなどを提供していると多種多様な情報が得られるだろうし、セキュリティと一口に言ってもインフラやアプリケーションの脆弱性もあれば、個人情報の取り扱いに関するポリシーなども関わってくる。 その上で、DeNAさんはポリシーを定義してPDCAをまわしながら、世の中と事業にあわせてポリシーをアップデートしていっているというのは、適切でいて、且つ安心できるポリシーになるだろうと思う。 ガチガチに定義しただけで、実運用の伴わない、体外的なアピールのようなポリシーは運用者も指示者も疲弊して、事業にもそぐわないのおで誰もハッピーにならないのかもしれない。 人数がいて、知識や新しい動向のキャッチアップの得意な人が向いているのかもなーと思ったし、運用に則したポリシーであれば皆協力的かもしれない。 次に、楽天さんの発表者の方はセキュリティエンジニアのスペシャリスト中のスペシャリストと言った方だった。 2002年に楽天のセキュリティエンジニア第一号として入社して、ずっとセキュリティに関する取り組みを行っているようで、外には公開できない内容を惜しげもなく発表されていた。 ホワイトハッカーとはまさにこんな方を言うのだろうなと思いながら聞きつつ、楽天はセキュリティに関して日本でもトップクラスの取り組みをしているというのがわかったし、個人的には一番おもしろい話だった。 最後はLINEさんの取り組みの話で、どちらかというと組織構成の話が主だっていた。

概要 Vulsと言えば弊社あだちんが登壇する（弊社記事）ということでVuls祭り#4に行ってきた。 日時/会場 2018年08月27日（月曜） 19:00 – 21:30 〒141-0032 東京都品川区大崎1-2-2 アートヴィレッジ大崎セントラルタワー 14階 フューチャー株式会社 会場提供はフューチャー株式会社さん。 場所は大崎のアートヴィレッジ。 大崎は私がISPのサポートをやっていた時に2年半通った場所でとても感慨深い場所だ。もう10年前、、、 （アートヴィレッジの一階に青蓮という中華屋さんがあってとても美味しかったのを覚えている。） VulsとNIRVANAの連携(国立研究開発法人 情報通信研究機構(NICT) 井上 氏) 本当にあった怖い話 -> 脆弱性対応にNirvanaは必要！ インシデントハンドリングと脆弱性ハンドリング Vuls x Nirvana -> Nirvana改弐 新機能 y=1/2gt^2 ンゴ感 脆弱性のレベルを色で判断でき、脆弱性の詳細がわかる みんなでVuls! Nirvana改弐はまだプロトタイプ 画面を見ていて、NIRVANAとVulsとの相性はとても良さそうに感じた。 また、昔InteropでNIRVANAを見た時も感じたけど、オフィス内の大きなモニターに映しておきながら、オペレーションしたくなるGUIなのでとても厨ニ心がくすぐられる。 あとは単純にアニメーションや色などの視覚的に判断できるのは人間がわかりやすい。 Vuls v0.5.0の新機能(フューチャー株式会社 Vuls作者 kotakanbe氏) VulsのGithubスター5000! Twitterアカウント 旧バージョンと互換性無しなので新規インストールになる スキャン性能が大幅に改善 NVDのXMLでParseしづらかったのでJSON対応してParseしやすくなった GitHub – knqyf263/gost: Build a local copy of Security Tracker. Notify via E-mail/Slack if there is an update.