SlideShare a Scribd company logo

セキュリティ業務の内製とチームメンバー育成

Toshiharu Sugiyama
Toshiharu Sugiyama

OWASP Night 12th

Engineering
1 of 20
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ業務の内製 とチームメンバー育成 - 0 から作るセキュリティチー ム- Jun 11, 2014 Toshiharu Sugiyama Security Dept. Security Engineering Group DeNA Co., Ltd.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 自己紹介  会社 ⁃ 株式会社ディー・エヌ・エー • システム本部 セキュリティ部 セキュリティ技術グループ  名前 ⁃ 杉山 俊春 ( はるぷ , @harupuxa)  属性 ⁃ セキュリティ ⁃ プログラマー ⁃ イラストレーター ⁃ ラテアート ⁃ 猫 2
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) と私 3 20122012 20132013 20142014 2013/4 セキュリティ グループ発足 2013/4 セキュリティ グループ発足 2014/4 セキュリティ部 2014/4 セキュリティ部 Join!Join! ここの中 セキュリティ部の位置づけ 技術グループと私 セキュリティ技術グループと セキュリティ推進グループがあります
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事  リリースするアプリ・サービスの脆弱性診断 ⁃ ゲーム全般 ( ブラウザゲーム、 iOS アプリ、 Android アプリ ) • 日本 / 海外、自社開発 / 委託開発共に実施 ⁃ ゲームプラットフォーム (Mobage) ⁃ エンタメ ( マンガボックス、 Showroom 、アプリゼ ミ等 ) ⁃ EC(DeNA ショッピング、モバオク、 DeNA トラベ ル等 ) ⁃ エブリスタ などなど 4
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事  セキュリティ相談・設計 ⁃ 個人情報を扱う機能の設計 ⁃ 暗号化基準、方式  社内ネットワークのセキュリティ ⁃ 社内の不審な通信の解析 ( 標的型攻撃への対応 ) ⁃ 社内クライアント、サーバ等の脆弱性診断  各種セキュリティの仕組み、ツールの作成   など色々やってます 5
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 6 やることがたくさん! けど、自分たちでやっていく必要がある
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  スピード・スケジュールの柔軟性 ⁃ 気になったタイミングで確認したい ⁃ スケジュールが直前まで FIX できない ⁃ 機能ごとにフェーズわけして実施したい  など 7
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  コスト ( 委託費用 ) ・網羅性 ⁃ セキュリティコストが開発費を超えてしま う! ⁃ 期間、コストを考えると一部の機能しか対 象にできない 8
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  業務知識 ⁃ ゲームにおいてできてはいけないこと は何か ⁃ アイテム増殖、能力不正強化など、一 般的な脆弱性診断では対象にならない 部分も致命的な問題に 9
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  Java, Objective-C 以外のスマホアプリの 対応が必要 ⁃ ngCore ⁃ Unity ⁃ Cocos2d ⁃ Adobe Air ⁃ Unreal Engine ⁃ 独自フレームワーク など 10
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 11 内製でもやっていかないと正直厳しい セキュリティ人材の確保
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材確保の課題  潜在的なセキュリティ人材不足 8 万人 ( 質的不足 16 万人 ) !超多い! 12 ⼈⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈出典:情報セキュリティ 材育成に係る現状と今後の検討課題について (NISC: 2013 年 11 ⼈ 6 ⼈ ) http://www.nisc.go.jp/conference/seisaku/jinzai/dai7/pdf/shiryou04.pdf
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材の課題  「セキュリティ人材」って何? 13 今流行の「フルスタックエンジニア」 ( +セキュリティ知識 ) みたいになってませんか? ……そんな人は見たことありません セキュリティに 「興味を持つ」、「理解できる」 が重要!
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ 楽しくハッキングする セキュリティの最前線に 暗記ではなく理論を考える 14
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること ~  楽しくハッキングする ⁃ つまらない作業にしない • ツール回して終わり は極力しない。ツール回す場合でも 新しい発見を大事に。 • 豪華なドキュメント ( 報告資料 ) は作らない ← 脆弱性診 断業務で一番しんどい部分! ⁃ 開発者に感謝されるようにする • 納得感のある報告 ( 原理、影響の解説 ) ⁃ 「これ凄くね?」を大事に ⁃ 仕事の幅を広く • 「セキュリティ」は広すぎるので、人によって興味を持 つ場所・イメージするものがかなり違う 15
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~教育環境~  脆弱なサンプルアプリ 16 かなり増えている! select * from user_info where login_id='test' and password='' or 1=1-- ' ID/PASS の両方が正しい 全てまたは EC サイト風 ゲーム風
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 講義用資料 詳細解説資料 英語のレベルはアレですが 英語版も! 社内開発者や協業先 にも展開してます! 社内開発者や協業先 にも展開してます! とにかく役立ちそうなものはドキュメント化 セキュリティ人材育成~教育環境~
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~  セキュリティの最前線に ⁃ 社内で情報を出し惜しみしない • 未公開の脆弱性とかも共有する ⁃ 社外への情報発信・セキュリティ貢献もする • IPA への届け出 ⁃ 2012/01-2014/06: 24 件 • 脆弱性解説記事公開 ⁃ 2014/04/15: Heartbleed 18 Mobage developers blog http://developers.mobage.jp/blog/2014/4/15/heartbleed
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~  暗記ではなく理論を考える ⁃ セキュリティ技術を暗記モノにしない • 理屈からちゃんと理解して説明する ⁃ 調べてもよくわからないものも、自分たちでなんと かしてみる 19
Copyright (C) DeNA Co.,Ltd. All Rights Reserved. まとめ  業務をより円滑に回すためには、セキュリテ ィ機能が社内にあると便利!  セキュリティ人材育成には、育てられる環境 が必要 20

Recommended

DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み
DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組みDeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み
DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組みToshiharu Sugiyama
 
B2B2Cなヘルスケアサービスの作り方
B2B2Cなヘルスケアサービスの作り方B2B2Cなヘルスケアサービスの作り方
B2B2Cなヘルスケアサービスの作り方Tomohiro MITSUMUNE
 
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)Toshiharu Sugiyama
 
DeNAが取り組む Software Engineer in Test
DeNAが取り組む Software Engineer in TestDeNAが取り組む Software Engineer in Test
DeNAが取り組む Software Engineer in TestMasaki Nakagawa
 
DeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechconDeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechconDeNA
 
DeNAの動画配信サービスを支えるインフラの内部 #denatechcon
DeNAの動画配信サービスを支えるインフラの内部 #denatechconDeNAの動画配信サービスを支えるインフラの内部 #denatechcon
DeNAの動画配信サービスを支えるインフラの内部 #denatechconDeNA
 
DeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNAのゲームを支えるプラットフォーム Sakasho #denatechconDeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNAのゲームを支えるプラットフォーム Sakasho #denatechconDeNA
 
DeNAインフラの今とこれから - 今編 -
DeNAインフラの今とこれから - 今編 -DeNAインフラの今とこれから - 今編 -
DeNAインフラの今とこれから - 今編 -Tomoya Kabe
 

Recommended

DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み
DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組みDeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み
DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組みToshiharu Sugiyama
 
B2B2Cなヘルスケアサービスの作り方
B2B2Cなヘルスケアサービスの作り方B2B2Cなヘルスケアサービスの作り方
B2B2Cなヘルスケアサービスの作り方Tomohiro MITSUMUNE
 
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)Toshiharu Sugiyama
 
DeNAが取り組む Software Engineer in Test
DeNAが取り組む Software Engineer in TestDeNAが取り組む Software Engineer in Test
DeNAが取り組む Software Engineer in TestMasaki Nakagawa
 
DeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechconDeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechconDeNA
 
DeNAの動画配信サービスを支えるインフラの内部 #denatechcon
DeNAの動画配信サービスを支えるインフラの内部 #denatechconDeNAの動画配信サービスを支えるインフラの内部 #denatechcon
DeNAの動画配信サービスを支えるインフラの内部 #denatechconDeNA
 
DeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNAのゲームを支えるプラットフォーム Sakasho #denatechconDeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNAのゲームを支えるプラットフォーム Sakasho #denatechconDeNA
 
DeNAインフラの今とこれから - 今編 -
DeNAインフラの今とこれから - 今編 -DeNAインフラの今とこれから - 今編 -
DeNAインフラの今とこれから - 今編 -Tomoya Kabe
 
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechconMobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechconDeNA
 
その後のDeNAのネイティブアプリ開発 #denatechcon
その後のDeNAのネイティブアプリ開発 #denatechconその後のDeNAのネイティブアプリ開発 #denatechcon
その後のDeNAのネイティブアプリ開発 #denatechconDeNA
 
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)dena_study
 
サービスの成長を支えるフロントエンド開発 #denatechcon
サービスの成長を支えるフロントエンド開発 #denatechconサービスの成長を支えるフロントエンド開発 #denatechcon
サービスの成長を支えるフロントエンド開発 #denatechconDeNA
 
DeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
DeNA内製ゲームエンジンの現状と目指す未来 #denatechconDeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
DeNA内製ゲームエンジンの現状と目指す未来 #denatechconDeNA
 
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechconYosaku Toyama
 
チラシルiOSでの広告枠開発
チラシルiOSでの広告枠開発チラシルiOSでの広告枠開発
チラシルiOSでの広告枠開発Satoshi Takano
 
FINAL FANTASY Record Keeperのマスターデータを支える技術
FINAL FANTASY Record Keeperのマスターデータを支える技術FINAL FANTASY Record Keeperのマスターデータを支える技術
FINAL FANTASY Record Keeperのマスターデータを支える技術dena_study
 
DeNA流cocos2d xとの付き合い方
DeNA流cocos2d xとの付き合い方DeNA流cocos2d xとの付き合い方
DeNA流cocos2d xとの付き合い方dena_study
 
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechconアバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechconDeNA
 
マンガボックスのiOS10プッシュ通知導入事例
マンガボックスのiOS10プッシュ通知導入事例マンガボックスのiOS10プッシュ通知導入事例
マンガボックスのiOS10プッシュ通知導入事例Fukaya Akifumi
 
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechconAnyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechconDeNA
 
Anyca におけるUIフレームワークと スマホによるドア操作の仕組み
Anyca におけるUIフレームワークと スマホによるドア操作の仕組みAnyca におけるUIフレームワークと スマホによるドア操作の仕組み
Anyca におけるUIフレームワークと スマホによるドア操作の仕組みShuhei Kawasaki
 
DeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechconDeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechconDeNA
 
これからの Microservices
これからの Microservicesこれからの Microservices
これからの MicroservicesToru Yamaguchi
 
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜Kentaro Matsumae
 
DeNAのゲーム開発を支える技術 (クライアントサイド編)
DeNAのゲーム開発を支える技術 (クライアントサイド編)DeNAのゲーム開発を支える技術 (クライアントサイド編)
DeNAのゲーム開発を支える技術 (クライアントサイド編)denatech2016
 
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechconDeNA
 
ログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechconログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechconDeNA
 
DeNAの分析を支える分析基盤
DeNAの分析を支える分析基盤DeNAの分析を支える分析基盤
DeNAの分析を支える分析基盤Kenshin Yamada
 
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~Yoshinori OHTA
 
愛甲健二
愛甲健二愛甲健二
愛甲健二NetAgent Co.,Ltd.
 

More Related Content

What's hot

Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechconMobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechconDeNA
 
その後のDeNAのネイティブアプリ開発 #denatechcon
その後のDeNAのネイティブアプリ開発 #denatechconその後のDeNAのネイティブアプリ開発 #denatechcon
その後のDeNAのネイティブアプリ開発 #denatechconDeNA
 
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)dena_study
 
サービスの成長を支えるフロントエンド開発 #denatechcon
サービスの成長を支えるフロントエンド開発 #denatechconサービスの成長を支えるフロントエンド開発 #denatechcon
サービスの成長を支えるフロントエンド開発 #denatechconDeNA
 
DeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
DeNA内製ゲームエンジンの現状と目指す未来 #denatechconDeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
DeNA内製ゲームエンジンの現状と目指す未来 #denatechconDeNA
 
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechconYosaku Toyama
 
チラシルiOSでの広告枠開発
チラシルiOSでの広告枠開発チラシルiOSでの広告枠開発
チラシルiOSでの広告枠開発Satoshi Takano
 
FINAL FANTASY Record Keeperのマスターデータを支える技術
FINAL FANTASY Record Keeperのマスターデータを支える技術FINAL FANTASY Record Keeperのマスターデータを支える技術
FINAL FANTASY Record Keeperのマスターデータを支える技術dena_study
 
DeNA流cocos2d xとの付き合い方
DeNA流cocos2d xとの付き合い方DeNA流cocos2d xとの付き合い方
DeNA流cocos2d xとの付き合い方dena_study
 
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechconアバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechconDeNA
 
マンガボックスのiOS10プッシュ通知導入事例
マンガボックスのiOS10プッシュ通知導入事例マンガボックスのiOS10プッシュ通知導入事例
マンガボックスのiOS10プッシュ通知導入事例Fukaya Akifumi
 
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechconAnyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechconDeNA
 
Anyca におけるUIフレームワークと スマホによるドア操作の仕組み
Anyca におけるUIフレームワークと スマホによるドア操作の仕組みAnyca におけるUIフレームワークと スマホによるドア操作の仕組み
Anyca におけるUIフレームワークと スマホによるドア操作の仕組みShuhei Kawasaki
 
DeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechconDeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechconDeNA
 
これからの Microservices
これからの Microservicesこれからの Microservices
これからの MicroservicesToru Yamaguchi
 
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜Kentaro Matsumae
 
DeNAのゲーム開発を支える技術 (クライアントサイド編)
DeNAのゲーム開発を支える技術 (クライアントサイド編)DeNAのゲーム開発を支える技術 (クライアントサイド編)
DeNAのゲーム開発を支える技術 (クライアントサイド編)denatech2016
 
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechconDeNA
 
ログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechconログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechconDeNA
 
DeNAの分析を支える分析基盤
DeNAの分析を支える分析基盤DeNAの分析を支える分析基盤
DeNAの分析を支える分析基盤Kenshin Yamada
 

What's hot (20)

Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechconMobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
 
その後のDeNAのネイティブアプリ開発 #denatechcon
その後のDeNAのネイティブアプリ開発 #denatechconその後のDeNAのネイティブアプリ開発 #denatechcon
その後のDeNAのネイティブアプリ開発 #denatechcon
 
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
 
サービスの成長を支えるフロントエンド開発 #denatechcon
サービスの成長を支えるフロントエンド開発 #denatechconサービスの成長を支えるフロントエンド開発 #denatechcon
サービスの成長を支えるフロントエンド開発 #denatechcon
 
DeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
DeNA内製ゲームエンジンの現状と目指す未来 #denatechconDeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
DeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
 
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
 
チラシルiOSでの広告枠開発
チラシルiOSでの広告枠開発チラシルiOSでの広告枠開発
チラシルiOSでの広告枠開発
 
FINAL FANTASY Record Keeperのマスターデータを支える技術
FINAL FANTASY Record Keeperのマスターデータを支える技術FINAL FANTASY Record Keeperのマスターデータを支える技術
FINAL FANTASY Record Keeperのマスターデータを支える技術
 
DeNA流cocos2d xとの付き合い方
DeNA流cocos2d xとの付き合い方DeNA流cocos2d xとの付き合い方
DeNA流cocos2d xとの付き合い方
 
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechconアバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
 
マンガボックスのiOS10プッシュ通知導入事例
マンガボックスのiOS10プッシュ通知導入事例マンガボックスのiOS10プッシュ通知導入事例
マンガボックスのiOS10プッシュ通知導入事例
 
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechconAnyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
 
Anyca におけるUIフレームワークと スマホによるドア操作の仕組み
Anyca におけるUIフレームワークと スマホによるドア操作の仕組みAnyca におけるUIフレームワークと スマホによるドア操作の仕組み
Anyca におけるUIフレームワークと スマホによるドア操作の仕組み
 
DeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechconDeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechcon
 
これからの Microservices
これからの Microservicesこれからの Microservices
これからの Microservices
 
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
 
DeNAのゲーム開発を支える技術 (クライアントサイド編)
DeNAのゲーム開発を支える技術 (クライアントサイド編)DeNAのゲーム開発を支える技術 (クライアントサイド編)
DeNAのゲーム開発を支える技術 (クライアントサイド編)
 
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
 
ログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechconログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechcon
 
DeNAの分析を支える分析基盤
DeNAの分析を支える分析基盤DeNAの分析を支える分析基盤
DeNAの分析を支える分析基盤
 

Viewers also liked

アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~Yoshinori OHTA
 
DeNAでのサービスの作り方
DeNAでのサービスの作り方DeNAでのサービスの作り方
DeNAでのサービスの作り方Naoki Masuda
 
わんくま同盟大阪勉強会#61
わんくま同盟大阪勉強会#61わんくま同盟大阪勉強会#61
わんくま同盟大阪勉強会#61TATSUYA HAYAMIZU
 
C++ tips2 インクリメント編
C++ tips2 インクリメント編C++ tips2 インクリメント編
C++ tips2 インクリメント編道化師 堂華
 
いままで使ってきた携帯電話
いままで使ってきた携帯電話いままで使ってきた携帯電話
いままで使ってきた携帯電話Ippei Ogiwara
 
20131209_buildinsidermeetup
20131209_buildinsidermeetup20131209_buildinsidermeetup
20131209_buildinsidermeetupkumake
 
サービスを成長させる為の開発について
サービスを成長させる為の開発についてサービスを成長させる為の開発について
サービスを成長させる為の開発についてtatsuya mazaki
 
Hadoopの紹介
Hadoopの紹介Hadoopの紹介
Hadoopの紹介bigt23
 
CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作
CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作
CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作Nobutaka Takushima
 
2014.11.12 ibm bluemix pdf
2014.11.12 ibm bluemix pdf2014.11.12 ibm bluemix pdf
2014.11.12 ibm bluemix pdfYuichiro Maki
 
New Objective-C Features for Swift 2.0
New Objective-C Features for Swift 2.0New Objective-C Features for Swift 2.0
New Objective-C Features for Swift 2.0Goichi Hirakawa
 
Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合
Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合
Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合Ryuichi Kubuki
 
【登壇資料】人類総インターネット時代に20代を無駄にしないために
【登壇資料】人類総インターネット時代に20代を無駄にしないために【登壇資料】人類総インターネット時代に20代を無駄にしないために
【登壇資料】人類総インターネット時代に20代を無駄にしないためにJunichi Akagawa
 
アセンブラ短歌 On web
アセンブラ短歌 On webアセンブラ短歌 On web
アセンブラ短歌 On webKenji Aiko
 
Visual C++ 2015の紹介(C++11/14的に)
Visual C++ 2015の紹介(C++11/14的に)Visual C++ 2015の紹介(C++11/14的に)
Visual C++ 2015の紹介(C++11/14的に)egtra
 

Viewers also liked (20)

アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
 
愛甲健二
愛甲健二愛甲健二
愛甲健二
 
DeNAでのサービスの作り方
DeNAでのサービスの作り方DeNAでのサービスの作り方
DeNAでのサービスの作り方
 
Main
MainMain
Main
 
わんくま同盟大阪勉強会#61
わんくま同盟大阪勉強会#61わんくま同盟大阪勉強会#61
わんくま同盟大阪勉強会#61
 
C++ tips2 インクリメント編
C++ tips2 インクリメント編C++ tips2 インクリメント編
C++ tips2 インクリメント編
 
いままで使ってきた携帯電話
いままで使ってきた携帯電話いままで使ってきた携帯電話
いままで使ってきた携帯電話
 
20131209_buildinsidermeetup
20131209_buildinsidermeetup20131209_buildinsidermeetup
20131209_buildinsidermeetup
 
サービスを成長させる為の開発について
サービスを成長させる為の開発についてサービスを成長させる為の開発について
サービスを成長させる為の開発について
 
Hadoopの紹介
Hadoopの紹介Hadoopの紹介
Hadoopの紹介
 
Javaone報告会
Javaone報告会Javaone報告会
Javaone報告会
 
CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作
CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作
CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作
 
2014.11.12 ibm bluemix pdf
2014.11.12 ibm bluemix pdf2014.11.12 ibm bluemix pdf
2014.11.12 ibm bluemix pdf
 
New Objective-C Features for Swift 2.0
New Objective-C Features for Swift 2.0New Objective-C Features for Swift 2.0
New Objective-C Features for Swift 2.0
 
Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合
Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合
Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合
 
【登壇資料】人類総インターネット時代に20代を無駄にしないために
【登壇資料】人類総インターネット時代に20代を無駄にしないために【登壇資料】人類総インターネット時代に20代を無駄にしないために
【登壇資料】人類総インターネット時代に20代を無駄にしないために
 
Cross2013_DeNA
Cross2013_DeNACross2013_DeNA
Cross2013_DeNA
 
PHP at Yahoo! JAPAN
PHP at Yahoo! JAPANPHP at Yahoo! JAPAN
PHP at Yahoo! JAPAN
 
アセンブラ短歌 On web
アセンブラ短歌 On webアセンブラ短歌 On web
アセンブラ短歌 On web
 
Visual C++ 2015の紹介(C++11/14的に)
Visual C++ 2015の紹介(C++11/14的に)Visual C++ 2015の紹介(C++11/14的に)
Visual C++ 2015の紹介(C++11/14的に)
 

Similar to セキュリティ業務の内製とチームメンバー育成

脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~apkiban
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティgree_tech
 
CrowdStrike Falconと効果的に楽に付き合っていくために
CrowdStrike Falconと効果的に楽に付き合っていくためにCrowdStrike Falconと効果的に楽に付き合っていくために
CrowdStrike Falconと効果的に楽に付き合っていくためにEiji Hoshimoto
 
Accel Platformのつくりかた。
Accel Platformのつくりかた。Accel Platformのつくりかた。
Accel Platformのつくりかた。NTTDATA INTRAMART
 
The way to a smart factory armed with data utilization
The way to a smart factory armed with data utilizationThe way to a smart factory armed with data utilization
The way to a smart factory armed with data utilizationDataWorks Summit
 
Einsteinってどんなもの?Heroku+PredictionIOを使って機械学習をわかった気になってみよう!
Einsteinってどんなもの?Heroku+PredictionIOを使って機械学習をわかった気になってみよう!Einsteinってどんなもの?Heroku+PredictionIOを使って機械学習をわかった気になってみよう!
Einsteinってどんなもの?Heroku+PredictionIOを使って機械学習をわかった気になってみよう!Junji Imaoka
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Tomohiko Yamakawa
 
ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方
ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方
ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方Hisahiko Shiraishi
 
インフラCICDの勘所
インフラCICDの勘所インフラCICDの勘所
インフラCICDの勘所Toru Makabe
 
自前でcloud foundryを構築してgooのビッグサービスをカットオーバーした話
自前でcloud foundryを構築してgooのビッグサービスをカットオーバーした話自前でcloud foundryを構築してgooのビッグサービスをカットオーバーした話
自前でcloud foundryを構築してgooのビッグサービスをカットオーバーした話和也 大木
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要シスコシステムズ合同会社
 
「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターンToshi Aizawa
 
Kubernetesによる機械学習基盤への挑戦
Kubernetesによる機械学習基盤への挑戦Kubernetesによる機械学習基盤への挑戦
Kubernetesによる機械学習基盤への挑戦Preferred Networks
 

Similar to セキュリティ業務の内製とチームメンバー育成 (20)

なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティ
 
CrowdStrike Falconと効果的に楽に付き合っていくために
CrowdStrike Falconと効果的に楽に付き合っていくためにCrowdStrike Falconと効果的に楽に付き合っていくために
CrowdStrike Falconと効果的に楽に付き合っていくために
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 
Accel Platformのつくりかた。
Accel Platformのつくりかた。Accel Platformのつくりかた。
Accel Platformのつくりかた。
 
The way to a smart factory armed with data utilization
The way to a smart factory armed with data utilizationThe way to a smart factory armed with data utilization
The way to a smart factory armed with data utilization
 
Einsteinってどんなもの?Heroku+PredictionIOを使って機械学習をわかった気になってみよう!
Einsteinってどんなもの?Heroku+PredictionIOを使って機械学習をわかった気になってみよう!Einsteinってどんなもの?Heroku+PredictionIOを使って機械学習をわかった気になってみよう!
Einsteinってどんなもの?Heroku+PredictionIOを使って機械学習をわかった気になってみよう!
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
 
ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方
ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方
ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方
 
インフラCICDの勘所
インフラCICDの勘所インフラCICDの勘所
インフラCICDの勘所
 
自前でcloud foundryを構築してgooのビッグサービスをカットオーバーした話
自前でcloud foundryを構築してgooのビッグサービスをカットオーバーした話自前でcloud foundryを構築してgooのビッグサービスをカットオーバーした話
自前でcloud foundryを構築してgooのビッグサービスをカットオーバーした話
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
 
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
 
Certified network defender
Certified network defenderCertified network defender
Certified network defender
 
「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン
 
Kubernetesによる機械学習基盤への挑戦
Kubernetesによる機械学習基盤への挑戦Kubernetesによる機械学習基盤への挑戦
Kubernetesによる機械学習基盤への挑戦
 

セキュリティ業務の内製とチームメンバー育成

  • 1. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ業務の内製 とチームメンバー育成 - 0 から作るセキュリティチー ム- Jun 11, 2014 Toshiharu Sugiyama Security Dept. Security Engineering Group DeNA Co., Ltd.
  • 2. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 自己紹介  会社 ⁃ 株式会社ディー・エヌ・エー • システム本部 セキュリティ部 セキュリティ技術グループ  名前 ⁃ 杉山 俊春 ( はるぷ , @harupuxa)  属性 ⁃ セキュリティ ⁃ プログラマー ⁃ イラストレーター ⁃ ラテアート ⁃ 猫 2
  • 3. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) と私 3 20122012 20132013 20142014 2013/4 セキュリティ グループ発足 2013/4 セキュリティ グループ発足 2014/4 セキュリティ部 2014/4 セキュリティ部 Join!Join! ここの中 セキュリティ部の位置づけ 技術グループと私 セキュリティ技術グループと セキュリティ推進グループがあります
  • 4. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事  リリースするアプリ・サービスの脆弱性診断 ⁃ ゲーム全般 ( ブラウザゲーム、 iOS アプリ、 Android アプリ ) • 日本 / 海外、自社開発 / 委託開発共に実施 ⁃ ゲームプラットフォーム (Mobage) ⁃ エンタメ ( マンガボックス、 Showroom 、アプリゼ ミ等 ) ⁃ EC(DeNA ショッピング、モバオク、 DeNA トラベ ル等 ) ⁃ エブリスタ などなど 4
  • 5. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部 ( 技術グループ ) のお仕事  セキュリティ相談・設計 ⁃ 個人情報を扱う機能の設計 ⁃ 暗号化基準、方式  社内ネットワークのセキュリティ ⁃ 社内の不審な通信の解析 ( 標的型攻撃への対応 ) ⁃ 社内クライアント、サーバ等の脆弱性診断  各種セキュリティの仕組み、ツールの作成   など色々やってます 5
  • 6. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 6 やることがたくさん! けど、自分たちでやっていく必要がある
  • 7. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  スピード・スケジュールの柔軟性 ⁃ 気になったタイミングで確認したい ⁃ スケジュールが直前まで FIX できない ⁃ 機能ごとにフェーズわけして実施したい  など 7
  • 8. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  コスト ( 委託費用 ) ・網羅性 ⁃ セキュリティコストが開発費を超えてしま う! ⁃ 期間、コストを考えると一部の機能しか対 象にできない 8
  • 9. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  業務知識 ⁃ ゲームにおいてできてはいけないこと は何か ⁃ アイテム増殖、能力不正強化など、一 般的な脆弱性診断では対象にならない 部分も致命的な問題に 9
  • 10. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 何故内製でセキュリティをやっているのか  Java, Objective-C 以外のスマホアプリの 対応が必要 ⁃ ngCore ⁃ Unity ⁃ Cocos2d ⁃ Adobe Air ⁃ Unreal Engine ⁃ 独自フレームワーク など 10
  • 11. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 11 内製でもやっていかないと正直厳しい セキュリティ人材の確保
  • 12. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材確保の課題  潜在的なセキュリティ人材不足 8 万人 ( 質的不足 16 万人 ) !超多い! 12 ⼈⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈出典:情報セキュリティ 材育成に係る現状と今後の検討課題について (NISC: 2013 年 11 ⼈ 6 ⼈ ) http://www.nisc.go.jp/conference/seisaku/jinzai/dai7/pdf/shiryou04.pdf
  • 13. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材の課題  「セキュリティ人材」って何? 13 今流行の「フルスタックエンジニア」 ( +セキュリティ知識 ) みたいになってませんか? ……そんな人は見たことありません セキュリティに 「興味を持つ」、「理解できる」 が重要!
  • 14. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~ 楽しくハッキングする セキュリティの最前線に 暗記ではなく理論を考える 14
  • 15. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること ~  楽しくハッキングする ⁃ つまらない作業にしない • ツール回して終わり は極力しない。ツール回す場合でも 新しい発見を大事に。 • 豪華なドキュメント ( 報告資料 ) は作らない ← 脆弱性診 断業務で一番しんどい部分! ⁃ 開発者に感謝されるようにする • 納得感のある報告 ( 原理、影響の解説 ) ⁃ 「これ凄くね?」を大事に ⁃ 仕事の幅を広く • 「セキュリティ」は広すぎるので、人によって興味を持 つ場所・イメージするものがかなり違う 15
  • 16. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~教育環境~  脆弱なサンプルアプリ 16 かなり増えている! select * from user_info where login_id='test' and password='' or 1=1-- ' ID/PASS の両方が正しい 全てまたは EC サイト風 ゲーム風
  • 17. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 講義用資料 詳細解説資料 英語のレベルはアレですが 英語版も! 社内開発者や協業先 にも展開してます! 社内開発者や協業先 にも展開してます! とにかく役立ちそうなものはドキュメント化 セキュリティ人材育成~教育環境~
  • 18. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~  セキュリティの最前線に ⁃ 社内で情報を出し惜しみしない • 未公開の脆弱性とかも共有する ⁃ 社外への情報発信・セキュリティ貢献もする • IPA への届け出 ⁃ 2012/01-2014/06: 24 件 • 脆弱性解説記事公開 ⁃ 2014/04/15: Heartbleed 18 Mobage developers blog http://developers.mobage.jp/blog/2014/4/15/heartbleed
  • 19. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ人材育成~心がけていること~  暗記ではなく理論を考える ⁃ セキュリティ技術を暗記モノにしない • 理屈からちゃんと理解して説明する ⁃ 調べてもよくわからないものも、自分たちでなんと かしてみる 19
  • 20. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. まとめ  業務をより円滑に回すためには、セキュリテ ィ機能が社内にあると便利!  セキュリティ人材育成には、育てられる環境 が必要 20