Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ・キャンプ全国大会2023企業紹介イベント 日本経済新聞社/#seccamp 2023

日本経済新聞社 エンジニア採用事務局
August 08, 2023
Technology
0
450

セキュリティ・キャンプ全国大会2023企業紹介イベント 日本経済新聞社/#seccamp 2023

セキュリティ・キャンプ全国大会2023 企業紹介イベント(2023/08/08)で発表した、日本経済新聞社のプロダクトセキュリティに関する取り組みの資料です。
#seccamp
https://www.ipa.go.jp/jinzai/security-camp/2023/zenkoku/index.html

日本経済新聞社 エンジニア採用事務局

August 08, 2023
Tweet

More Decks by 日本経済新聞社 エンジニア採用事務局

See All by 日本経済新聞社 エンジニア採用事務局
日経のサービスの信頼性を支える負荷試験基盤/nikkei-tech-talk11
nikkei_engineer_recruiting
0
67
できる!アクセシビリティ向上/droidkaigi2023-day2
nikkei_engineer_recruiting
0
1.8k
iOSとAndroidで定期購入の意図しない解約を防ぐ/droidkaigi2023-day1
nikkei_engineer_recruiting
0
210
3分でわかるOpen ID Connect の仕様と3年かけてもわからない Open ID Connect の実装/nikkei-tech-talk-10-1
nikkei_engineer_recruiting
0
220
チーム・組織を越えコンテンツを「考え、伝える。」ユーザに寄り添い、数字も追うPMの醍醐味/nikkei-tech-talk-9
nikkei_engineer_recruiting
0
120
3 年間にわたる iOS Widgets の開発と、その旨み/#nikkei_tech_talk
nikkei_engineer_recruiting
1
320
Androidチームにおけるレガシーコードとの向き合い方/ #nikkei_tech_talk
nikkei_engineer_recruiting
1
230
トップ画面のRecyclerViewにComposeを一部導入した話/ #nikkei_tech_talk
nikkei_engineer_recruiting
0
240
Jetpack Composeにおける画像ライブラリ ~Coilに🤏だけ詳しくなる~/ #nikkei_tech_talk
nikkei_engineer_recruiting
0
450

Other Decks in Technology

See All in Technology
電動マイクロモビリティのシェアサービス「LUUP」におけるEnabling SLOの実践
grimoh
1
330
監視とオブザーバビリティ 〜 悩む前に確認しておくべきこと / 20230926-ssmjp-monitoring-and-observability
opelab
9
1.4k
Customer-Centricity Unleashed: Transforming Businesses with LINE Tech
linedevth
1
190
Jagu'e'r Tech Writers Meetup #1
yamahiro
0
160
プロダクトオーナーとしてSLOに向き合う 〜Mackerelチームの事例〜 / SRE NEXT 2023
tatsuru
PRO
0
300
日本初のスクラム本「アジャイルソフトウェア開発スクラム」から20年の節目に翻訳者にいろいろ聞く
orinbou
0
320
ChatGPTの10ヶ月と開発トレンドの現在地
hirosatogamo
17
9.4k
AWS CDKでインフラ、アプリを分離した際に困ったこと
smt7174
1
130
LLMアプリケーションの安定性を高めるための精度評価・改善
nrryuya
3
1.4k
スタートアップのためのアジャイルプラクティス -論文100本ノック- #xpjug / Agile Practice for Startup - Papers -
kyonmm
PRO
1
660
今改めて見直してみるラズパイの真価
hamadakoji
1
270
20230930_JAWS-FESTA_REJECT-CON_ControlTower
hiashisan
0
540

Featured

See All Featured
What the flash - Photography Introduction
edds
64
11k
The Straight Up "How To Draw Better" Workshop
denniskardys
226
130k
The World Runs on Bad Software
bkeepers
PRO
59
6.1k
The Mythical Team-Month
searls
213
41k
Robots, Beer and Maslow
schacon
154
7.6k
Typedesign – Prime Four
hannesfritz
35
1.8k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
20k
The Invisible Customer
myddelton
113
12k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
12
5.7k
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
KATA
mclloyd
13
11k
Product Roadmaps are Hard
iamctodd
42
8.8k

Transcript

  1. 【企業紹介イベント】⽇本経済新聞社
    セキュリティ‧キャンプ全国⼤会2023
    2023年8⽉8⽇

    View Slide

  2. 本⽇のアジェンダ
    ● ⾃⼰紹介
    ● ⽇本経済新聞社について
    ● ⽇経のエンジニア
    ● プロダクトセキュリティの取組み
    ● インターン募集中
    2

    View Slide

  3.  ㈱⽇本経済新聞社
     CDIO室 セキュリティエンジニア
      藤⽥ 尚宏(CISSP、GCIH)
    ● 2022年4⽉⼊社(中途)
    ● 元 警視庁特別捜査官(サイバー犯罪捜査官)
    ● 元 オープン系エンジニア(SES, SIer, ベンダー)
    ● 主なお仕事
    ● プロダクトセキュリティチームのリーダー
    ● プロダクトセキュリティ/DevSecOpsの企画‧推進
    ● 趣味
    ● #hobby-we-love-beer, #hobby-gyozabu, #hobby-coffee
    ● #hobby-flower, #hobby-splatoon
    発表者のプロフィール
    3

    View Slide

  4. 会社概要
    4
    会社名 株式会社 ⽇本経済新聞社
    代表者 代表取締役社⻑ ⻑⾕部 剛
    資本⾦ 25億円
    社員数 3,043⼈(2022年12⽉末)
    事業内容 新聞を中核とする事業持株会社。雑誌、
    書籍、電⼦メディア、データベースサー
    ビス、速報、電波、映像、経済‧⽂化事
    業などを展開
    創刊 1876年(明治9年) 12⽉2⽇

    View Slide

  5. 5
    Value
    独⽴ / クオリティー / 先進性 / 多様性
    Independence / Quality / Innovation / Diversity
    Purpose
    考え、伝える。より⾃由で豊かな世界のために。
    Better insights for a better world
    Mission
    質の⾼い報道とサービスで
    読者‧顧客の判断を助け
    世界で最も公正で信頼されるメディアになる
    To be the most trusted, independent provider of
    quality journalism to a global community,
    helping our customers make better decisions.
    理念

    View Slide

  6. ⽇経グループ
    6
    フィナンシャル‧タイムズ‧グループ
    出版系
    ⽇経BP
    ⽇経サイエンス
    ⽇経ナショナルジオグラフィック
    デジタル系
    ⽇経メディアマーケティング
    QUICK
    放送系
    テレビ東京ホールディングス
    ⽇経CNBC
    ラジオNIKKEI
    ⽇経映像
    販売系
    ⽇経メディアプロモーション
    ⽇経ピーアール
    広告系
    ⽇本経済社
    ⽇経イベント‧プロ
    ⼈材教育系
    ⽇経HR
    ⽇経FTラーニング
    海外系
    ⽇経グループアジア本社
    ⽇経アメリカ社
    ⽇経ヨーロッパ社
    ⽇経中国(⾹港)社
    ⽇経創意(北京)社
    など

    View Slide

  7. 沿⾰
    7

    View Slide

  8. 8
    ⽇経電⼦版
     有料会員数は約83万⼈*1
    ● 経済分野のニュースを中⼼に、ウェブサイト、スマ
    ホアプリで配信
    ● 新聞に載っていない記事や、Myニュース、AI推薦
    などのパーソナライズ機能を提供
    ● 新聞のレイアウトで読める紙⾯ビューアーを提供
    ● 読者の60.2%が勤務先での役職者。
    ● 平均世帯年収は906万円*2
    *1. 2022年7月26日時点 https://www.nikkei.com/article/DGKKZO62674820V10C22A7CT0000/
    *2. 2022年1月1日時点 https://marketing.nikkei.com/media/web/audience/

    View Slide

  9. ・ 日経電子版
    ・ 日経ID(ID基盤、課金決済)
    ・ 日経転職版
    ・ NIKKEI Prime
    ・ Nikkei Asia
    日経のプロダクト
    ・ 法人向け日経電子版
    (PRO, FOR OFFICE)
    ・ 日経テレコン
    ・ 日経NEEDS
    ・ 日経バリューサーチ
    ・ 日経リスク&コンプライアンス
    ・ 日経スマートクリップ
    ・ 日経COMPASS
    BtoC
    9
    BtoB
    ・ 日経マガジン
    ・ 各種イベント
    ・ 日経リスキリング
    ・ 日経オフィスパス
    内部向け
    ・ データ基盤(Atlas)
    ・ 契約管理(IMS)
    その他サービス

    View Slide

  10. 10
    ⽇経のエンジニア

    View Slide

  11. エンジニア⼈材
    新卒、社会⼈採⽤の割合は1:1
    総勢80名超
    エンジニア、データサイエンティスト、セキュリティエンジニアなど幅広いスキル
    11
    more…

    View Slide

  12. モダンなアーキテクチャ
    12

    View Slide

  13. 多種多様なアプリ開発
    13

    View Slide

  14. 14
    対外発表を推奨

    View Slide

  15. 15
    発表スライドの⼀例(⼀部、弊社技術ブログHack The Nikkeiで公開中)

    View Slide

  16. 16
    開発環境‧活動⽀援

    View Slide

  17. 17
    ⽇経における
    セキュリティへの挑戦

    View Slide

  18. プロダクトセキュリティチーム
    ● 発足:2021年1月
    ● ミッション:
    ○ 日経のデジタルプロダクトのセキュリティリスクをコントロールして
    事業成長に貢献する
    ● 目標:
    ○ DevSecOpsによりデジタル事業のサービスで保有する情報を適切に守ること、開
    発者の体験・開発速度を損なわないことを同時に目指す
    18

    View Slide

  19. 変化とリスク
    ● 変化にはリスクを伴う
    ● 変化しないことによるリスクも伴う
    ● エンジニアは技術によって変化を起こすことが仕事
    セキュリティは、リスクに適切に対処し
    安心して変化するための手段である
    19

    View Slide

  20. DevSecOps概観
    20
    Plan セキュリティレビュー
    Code
    SAST
    (静的アプリケーションセキュリティテスト)
    コードレビュー
    Build CI / CD パイプライン
    Test
    DAST
    (動的アプリケーションセキュリティテスト)
    Deploy 脆弱性診断
    Operate クラウドセキュリティテンプレート バグバウンティプログラム
    Monitor セキュリティ監視(SOC) インシデントレスポンス
    Dev
    Ops
    Dev/Ops
    Sec
    脅威モデリング

    View Slide

  21. セキュリティレビュー・脅威モデリング
    21
    開発チームとセキュリティチームが協力し、早期にリスクを発見するための活動
    上図は架空のウェブサービスを対象としたものです。

    View Slide

  22. Webセキュリティ
    22
    セキュリティ報告窓口(security.txt)の公開
    (2022年4月に公開された技術仕様(RFC9116)への対応)
    有志の
    ホワイトハッカー
    ①脆弱性発見 ②報告先確認
    ③報告
    国内外から報告実績あり
    セキュリティ報告窓口
    (セキュリティチーム)
    ④共有
    日経
    デジタル関連部署
    日経
    デジタル関連部署
    デジタル関連部署
    その他部署
    海外拠点 など
    セキュリティ
    インシデント対応
    チーム ④共有
    日経のサービス

    View Slide

  23. パブリッククラウド セキュリティ監視基盤の構築
    23
    SOC
    組織
    セキュリティ
    監視基盤
    通知
    本番環境
    A
    通知
    開発担当者

    セキュリティチーム
    本番環境
    B
    本番環境
    C
    監視
    ・監視基盤の適用  ・通知ルール整備
    ・アラート対応相談 ・点検 (Slack, レポート)
    ログ
    操作 連携

    View Slide

  24. セキュリティチームの発信
    SECCON Beginners 2023 Writeup     新卒エンジニア研修2023(セキュリティ)
    24

    View Slide

  25. 宣伝 (Student Bug Bounty Battle Royal)
    学生向けバグバウンティプログラム
    期間:2023年8月9日ー31日
    セキュリティ・キャンプが終わったらぜひご参加下さい!
    25

    View Slide

  26. 1.独学
     ・ 書籍、資料、勉強会、Twitter、Slack
     ・ 規格、フレームワーク、ベンチマークを読む
     ・ CTF(Capture The Flag)への取り組み
    参考:https://hack.nikkei.com/blog/ctf4b202206/
    2.専門教育
     ・ セキュアコーディング研修「KENRO」
     ・ セキュリティ・キャンプの聴講
     ・ 有償講習(CompTIA、(ISC)²、クラウドセキュリティ等)
     
    3.資格取得
     ・ 情報処理安全確保支援士
     ・ CompTIA、CISSP等
     ・ クラウド関連資格(AWS/GCP)
    セキュリティスキルをどのように身につけるか
    26
    IPA(情報処理推進機構):安全なウェブサイトの作り方
    https://www.ipa.go.jp/security/vuln/websecurity.html

    View Slide

  27. 27
    Question?
    インターン募集中です

    View Slide