セキュリティ・キャンプ全国大会2022 企業紹介イベント/seccamp2022-nikkei

Transcript

1. 1 【企業紹介イベント】日本経済新聞社 セキュリティ・キャンプ全国大会2022 2022年8月10日

2. 発表者のプロフィール 2 　㈱日本経済新聞社 　セキュリティエンジニア 　　藤田 尚宏（CISSP、GCIH） • 2022年4月入社（中途） • 所属：技術企画グループ　セキュリティチーム

   • CDIO(Chief Digital Information Officer)直属の組織 • プロダクトセキュリティ施策の企画・推進 • バグバウンティ運営 • セキュリティ製品選定 etc… • 所属外のお仕事 • セキュリティ啓蒙活動（社内Slack） • セキュリティ専門記者との情報連携 • CTFサークル活動

3. 本日のアジェンダ • 会社概要（日本経済新聞社について） • 日経のエンジニア • 日経におけるセキュリティへの挑戦 • クラウドセキュリティ、Webセキュリティ •

   セキュリティ・キャンプ卒業生の声 • ジャーナリズムｘOSINT • インターン募集中 3

4. 会社概要 4 会社名 株式会社 日本経済新聞社 代表者 代表取締役社長　長谷部 剛 資本金 25億円

   社員数 3,045人（2021年12月末） 事業内容 新聞を中核とする事業持株会社。雑誌、 書 籍、電子メディア、データベースサービス、速 報、電波、映像、経済・文化事業などを展開 創刊 1876年(明治9年) 12月2日

5. 社是 社是は、戦後、日本経済新聞への改題とともに当時の社長小汀利得が定めました。中立で公正、 事実に基づく合理的な視点を忘れず報道し、国民生活と経済の発展に貢献するというこの言葉は、 戦後の日経の原点であり、今に続く指針になっています。 5 理念 Value 独立 / クオリティー

   / 先進性 / 多様性 Independence / Quality / Innovation / Diversity Purpose 考え、伝える。より自由で豊かな世界のために。 Better insights for a better world Mission 質の高い報道とサービスで 読者・顧客の判断を助け 世界で最も公正で信頼されるメディアになる To be the most trusted, independent provider of quality journalism to a global community, helping our customers make better decisions. 日本経済新聞社グループが定めるバリュー・パーパス・ミッションです。 バリューは、すべての社員が共有する価値観、 パーパスはいつまでも変わらないグループの存在意義、 ミッションはグループ各社それぞれがパーパスに沿って果たすべき使命を表します。 中正公平、 わが国民生活の基礎たる経済の 平和的民主的発展を期す

6. 日経グループ 6 フィナンシャル・タイムズ・グループ 出版系 日経ＢＰ 日経サイエンス 日経ナショナルジオグラフィック デジタル系 日経メディアマーケティング ＱＵＩＣＫ

   放送系 テレビ東京ホールディングス 日経ＣＮＢＣ ラジオNIKKEI 日経映像 プレミアム・プラットフォーム・ジャパン（ PPJ） 販売系 日経メディアプロモーション 日経ピーアール 広告系 日本経済社 日経イベント・プロ 人材教育系 日経ＨＲ 日経ＦＴラーニング 海外系 日経グループアジア本社 日経アメリカ社 日経ヨーロッパ社 日経中国（香港）社 日経創意（北京）社 など

7. 沿革 7

8. 8 日経電子版 　有料会員数は約83万人*1 • 経済分野のニュースを中心に、ウェブサイト、スマホア プリで配信 • 新聞に載っていない記事や、 Myニュース、AI推薦など のパーソナライズ機能を提供

   • 新聞のレイアウトで読める紙面ビューアーを提供 • 読者の60.2%が勤務先での役職者。 • 平均世帯年収は906万円*2 *1. 2022年7月26日時点 https://www.nikkei.com/article/DGKKZO62674820V10C22A7CT0000/ *2. 2022年1月1日時点 https://marketing.nikkei.com/media/web/audience/

9. 9

10. デジタル分野での成長を加速するための出資・提携 10

11. 11 日経のエンジニア

12. エンジニア人材 新卒、社会人採用の割合は１：３ 総勢８０名超 エンジニア、データサイエンティスト、セキュリティエンジニアなど幅広いスキル 12 more…

13. 多種多様なアプリ開発 13

14. モダンなアーキテクチャ 14

15. 15 対外発表を推奨

16. 16 発表スライドの一例（一部、弊社技術ブログHack The Nikkeiで公開中）

17. 17 開発環境・活動支援

18. 18

19. 19 日経における セキュリティへの挑戦

20. クラウドセキュリティ 20 • 既存システムのクラウド環境への移行 • アジリティとセキュリティの両立 • [AWS Summit 2022

    日経ID]で検索 • アーカイブ公開中

21. Webセキュリティ • 2022年5月から6月までバグバウンティを実施 （BugBounty.jpにてプライベート開催） • 対象：BtoC(消費者向け)サービスを中心に実施 • 脆弱性：XSS、CSRF、Open Redirect等が報告された •

    セキュリティチームでは再現検証、開発チームへの改善提 案等を実施 • 社内の開発プレゼン会（技術勉強会）で実施結果共有や 技術解説等を行い、啓蒙活動を推進 21

22. セキュリティ・キャンプ卒業生の声 • 2022年4月新卒採用（エンジニア）※ セキュリティ・キャンプ全国大会参加経験者 • 知人からのインターン募集紹介を経て日経にエンジニア部隊があることに驚く • クラウドセキュリティ対策(ガイドラインやテンプレート化)について先進的な取り組み • CTFサークル活動があることが嬉しい（Hack

    The Nikkei参照） 22

23. • SNSやオープンデータ等の公開情報を基に分析して得た知見を報道に活用 • 日経の報道でOSINTが活用された事例： • 政府オープンデータ「開店休業」２割にアクセス不備 • ロシア、自国ネットを「防衛遮断」か　ハッカーと攻防 • ロシア口実捏造の軌跡

    ジャーナリズムｘOSINT(*) 23 (*) OSINT:オープンソースインテリジェンス

24. セキュリティスキルをどのように身につけるか １．独学 　・　書籍、資料、勉強会、Twitter、Slack 　・　Udemy等の活用 ２．専門教育 　・　セキュリティ・キャンプへの参加 　・　専門学校や大学院等の講義履修 　・　有償トレーニングの受講 ３．資格取得 　・　情報処理安全確保支援士（幅広＋専門職寄り）

    　・　CISSP（幅広＋管理職寄り） 　・　GIAC資格（専門的＋防御寄り）、OSCP資格（専門的＋攻撃寄り） ４．CTF(Capture The Flag)への参加 　・　Hack The NikkeiにてSECCON Beginners CTF 2022 Writeupを公開中 24 a.k.a 徳丸本 https://wasbook.org/ （再掲） IPA（情報処理推進機構）：安全なウェブサイトの作り方 https://www.ipa.go.jp/security/vuln/websecurity.html

25. • マルチクラウドセキュリティへの対応 • DevSecOpsのさらなる推進 • 自動化された脆弱性診断の強化 • アタックサーフェスへの対応強化 • 開発者を中心としたセキュリティ人材の強化／啓蒙

    • コンテナセキュリティ・APIセキュリティ等の強化 進化し続けるサイバー攻撃とセキュリティ対策・・・ 一緒に取り組んでくれる仲間を絶賛募集中！ エンジニアの長期インターン制度もあります！ これからの日経のプロダクトセキュリティ 25 長期インターン情報

26. 26 Question ?