Introduction to works of Security Engineer in LY Corporation

Transcript

1. © LY Corporation Introduction to works of Security Engineer in

   LY Corporation SIグループインフラ統括本部Developer Platform1本部 坂根 晋平/ Shimpei Sakane 1

2. © LY Corporation Internal Use Only 坂根 晋平 Shimpei Sakane

   LINEヤフー株式会社 SIグループインフラ統括本部Developer Platform1本部 2 2023/04 ヤフー株式会社 新卒入社 2023/07 テクノロジーグループシステム統括本部 セキュリティ&デベロッパーPF本部 2023/10 SIグループインフラ統括本部 Developer Platform1本部 2024/10 SIグループインフラ統括本部 Developer Platform1本部 CISO管掌セキュリティ統括本部 セキュリティエンジニアリング本部 兼務

3. © LY Corporation ◼ サイバーディフェンスとは • クラウド環境に必要となるセキュリティ機能を、 OSSやエンタープライズ製品を活用して開発者に提供するための組織 ◼ サイバーディフェンスの仕事

   • LINEヤフーが提供するサービスのDDoS攻撃などからの防御 • 社内の認証認可 • 社内のサーバーやコードなどの脆弱性確認 • 社内のシークレットデータの管理 • 社内の証明書管理（認証局や証明書の発行など） 3 サイバーディフェンスの仕事

4. © LY Corporation ◼ 仕事内容 • 社内のシークレットデータの管理を行うサービスの開発および運用 ◼ シークレットデータとは •

   データベースのパスワード、APIトークン、証明書、など ◼ シークレットデータの管理の重要性 • 各LINEヤフーのサービスにおけるユーザーの方々の個人情報はデータベースなどに保存 • データベースのパスワードが漏洩した際の影響 ➢ ユーザーの方々の個人情報漏洩 ➢ LINEヤフーの信用失墜 • -> シークレットデータを適切に管理しなければならない ◼ シークレットデータの管理を一つのチームに任せる必要性 • 各LINEヤフーのサービスがシークレットデータを適切に管理するにはコストが非常に高い • -> シークレットデータの管理を別チームに任せることにより各サービスは開発などに専念可能 仕事内容について 4 所属チームでの仕事

5. © LY Corporation Internal Use Only 基本的な一日のスケジュール 2週間に一回訪れる一日のスケジュール 一日のスケジュール 5

   所属チームでの仕事 10:00 勤務開始 Slackとメールの確認。 その後、朝会まで仕事を実施。 11:00 チーム朝会 前営業日までの進捗と今日やることの確認。 12:00 ランチ 基本的にオフィスに出社しているため社食でランチ。 13:00 作業 開発、コードレビュー、問い合わせ対応などを実施。 開発は基本的にペアプログラミングで行っています。 15:00 リーダーとの1on1 話す内容: 仕事、趣味などプライベートな内容 15:30 作業再開 19:00 退勤 19:00 退勤 10:00 勤務開始 15:00 計画会議 次の2週間で行う作業の計画を立てます。 その際にタスク内容の設計やタスクを完了させる ために必要なコストを見積もります。 11:00 チーム朝会 12:00 ランチ 13:00 振り返り 2週間を振り返り、よかったこと、続けたいこと、 改善点を洗い出し、次の2週間に活かします。

6. © LY Corporation Internal Use Only ◼ サーバーの安定性向上 • アクセス集中時（高負荷時）にも

   サーバーを起動し続けられるように 改良 ◼ ユーザー体験の向上 • 便利にシークレットデータを使用で きるようにするツールの新規開発 • 既存クライアントライブラリ（Go、 Python、Java、Node.js）の改良 ◼ LINEヤフー統合環境の開発 • もともと別会社だったLINEとヤフー それぞれの社内サービスを統合し、 より便利により簡単に使える環境を 開発する全社プロジェクトへの参加 これまでの仕事 これからの仕事 これまでとこれからの仕事 6 所属チームでの仕事

7. © LY Corporation