1. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ業務の内製
とチームメンバー育成
- 0 から作るセキュリティチー
ム-
Jun 11, 2014
Toshiharu Sugiyama
Security Dept. Security Engineering Group
DeNA Co., Ltd.
16. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材育成~教育環境~
脆弱なサンプルアプリ
16
かなり増えている!
select * from user_info where
login_id='test' and password='' or 1=1-- '
ID/PASS の両方が正しい 全てまたは
EC サイト風 ゲーム風
17. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
講義用資料 詳細解説資料
英語のレベルはアレですが
英語版も!
社内開発者や協業先
にも展開してます!
社内開発者や協業先
にも展開してます!
とにかく役立ちそうなものはドキュメント化
セキュリティ人材育成~教育環境~
18. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材育成~心がけていること~
セキュリティの最前線に
⁃ 社内で情報を出し惜しみしない
• 未公開の脆弱性とかも共有する
⁃ 社外への情報発信・セキュリティ貢献もする
• IPA への届け出
⁃ 2012/01-2014/06: 24 件
• 脆弱性解説記事公開
⁃ 2014/04/15: Heartbleed
18
Mobage developers blog
http://developers.mobage.jp/blog/2014/4/15/heartbleed
19. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材育成~心がけていること~
暗記ではなく理論を考える
⁃ セキュリティ技術を暗記モノにしない
• 理屈からちゃんと理解して説明する
⁃ 調べてもよくわからないものも、自分たちでなんと
かしてみる
19
20. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
まとめ
業務をより円滑に回すためには、セキュリテ
ィ機能が社内にあると便利!
セキュリティ人材育成には、育てられる環境
が必要
20