20220810_seccam

Transcript

1. セキュリティキャンプ2022 2022/8/10 サイバーエージェント システムセキュリティ推進グループ　岡崎創

2. 1.サイバーエージェントで働くまで 2.CAのセキュリティグループについて 3.CAでのセキュリティ施策

3. 簡単に自己紹介 •氏名：岡崎　創（おかざき　はじめ） •所属：サイバーエージェント > グループIT推進本部 > 　　　　システムセキュリティ推進グループ > オンサイトチーム •職種：セキュリティエンジニア

   •職歴：情報系大学卒業 　LAMP環境のフロントエンジニア、その後、LAMP環境インフラエンジニア 　　　転職、Webアプリケーションの脆弱性診断 　　　　転職、サイバーエージェントに入社（2015/6〜） •資格：情報処理安全確保支援士、ネットワークスペシャリスト、AWS Security Specialist

4. サイバーエージェントで働くま で

5. 現状のステータス •セキュリティ関連業務歴：７〜８年間くらい •保有資格： （IPA系） 基本情報技術者、応用情報技術者、 情報処理安全確保支援士、 ネットワークスペシャリスト試験、 （ベンダ系） AWS Certified

   Solutions Architect - Associate、 AWS Certified Security - Specialty G検定 IPA試験区分：https://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html

6. セキュリティエンジニアまで１ •数学が好きだった。 ＊数学検定・算数検定（実用数学技能検定）２級を高校生の時に合格 ＊陸上部でした。中距離担当 • 大学は情報系の大学へ ＊情報セキュリティ関連授業は少なかった ＊卒業研究は情報セキュリティ関連「スパイウェア」 ＊この時点では社会にでて、どんな仕事に役立てられるか、イメージがなかった 数学検定　概要：https://www.su-gaku.net/suken/examination/summary/

7. セキュリティエンジニアまで２ •社会人 ＊Webアプリケーション開発（ユーザ企業） 　ー　LAMP環境（L → Linux、A → Apache、M → MySQL、P

   → PHP） 　ー　フロントエンド（JavaScript、HTML）、バックエンド（API） DB APIs API API API DB 当時 現在

8. セキュリティエンジニアまで３ •社会人 ＊インフラ構築、運用（ユーザ企業） 　ー　サーバの構築、Zabbixを利用してサーバ監視 　ー　ハイパーバイザ（XenServer） tech target japan：https://techtarget.itmedia.co.jp/tt/news/1507/17/news07.html

9. セキュリティエンジニアまで４ •社会人 ＊脆弱性診断士（診断会社） 　ー　Webアプリケーション診断（ブラックボックス診断） 　ー　診断結果を依頼会社に報告 プロキシツール Webサーバ HTTPS 診断士PC

10. セキュリティエンジニアまで５ •社会人 ＊サイバーエージェント（CA）でセキュリティエンジニア（ユーザ企業）

11. CAのセキュリティグループに ついて

12. CAにおける共通組織 •共通組織 ・IR・SR室 ・内部統制・内部監査室 ・人事本部 ・全社広報 ・グループIT推進本部（こちら） ・事業部組織 　・ABEMA 　・メディア事業部

    　・AI事業本部 　など サイバーエージェント グループIT推進本部 IR・SR室 ABEMA メディア事業部 AI事業本部 SGE事業部

13. グループIT推進本部 •グループIT推進本部 ・コーポレートIT局 ・全社データ技術局 ・PR Factory ・AOI(Assets & Office Infrastructure)

    ・システム総務 ・CIU(CyberAgent group Infrastructure Unit) ・システムセキュリティ推進グループ（こちら） グループIT推進本部 コーポレートIT局 CIU システムセキュリティ推進グ ループ 全社データ技術局

14. システムセキュリティ推進グループ •システムセキュリティ推進グループ（SSG） ・セキュリティガバナンスチーム ・技術チーム ・オペレーションチーム ・脆弱性診断チーム ・オンサイトチーム（私はこちら） SSG オンサイトチーム 技術チーム

    セキュリティガバナンスチー ム 脆弱性診断 オペレーションチーム

15. ミッション •CA：「２１世紀を代表とする会社を創る」 •これを受けて、システムセキュリティ推進グループでは 「セキュリティ維持・向上・事後対応を通じて、 CyberAgentグループの成長阻害要因となる ITセキュリティリスクを排除する。」

16. 事業部との関係 •事業部とプロダクト ・事業部：役員、責任者 ・プロダクト：ビジネス責任者、開発責任者、チームリーダ AI事業本部 ・プロダクトC ・プロダクトD メディア事業部 ・プロダクトA ・プロダクトB

    SGE事業部 ・プロダクトE ・プロダクトF SSG/オンサイトチーム メディア事業部 　担当ユニット AI事業本部 　担当ユニット SGE事業部 　担当ユニット セキュリティ担当 セキュリティ担当 セキュリティ担当

17. プロダクトとの関係 •事業部/プロダクトによりFitするセキュリティ対策を提案する 事業部A SSG 事業部B 事業部C SSG SSG 事業部側の体制・特色など セキュリティ対策

18. 過去の経験を生かして •プロダクト（開発側）と一緒にセキュリティ課題を解決 　ー　修正コストはどのくらいか 　ー　恒久的な解決策か API API API DB フロントの処理に 問題がある？

    バックエンドの処理に 問題がある？ DBの保存時に問題 がある？ 例：XSSの場合

19. CAでのセキュリティ施策

20. プロダクトセキュリティ強化 •プロダクトセキュリティ強化 ・インシデントハンドリング ・プロダクト管理：システムリストの整備 ・リスクアセスメント：システム毎のリスク整理 プロダクトセキュリティ強化 プロダクト管理 リスク アセスメント インシデント

    ハンドリング

21. 事業部ごと •ABEMA/メディア事業部 ・FIFAワールドカップ2022に向けてリスクアセスメント ・スタジオ運営、WinTicketなど •AI事業本部 ・ISMS取得部門のサポート ・大学との共同研究によるデータ共有方法 •SGE事業部 ・SGE独自のリリース判定フロー ・IP（知的財産権）関連

    •その他

22. サービス一覧 •SSGの基本サービス ・PERMAN（権限管理など） ・脆弱性診断 ・パスワードマネージャ ・RISKEN（モニタリング） ・PCエンドポイント強化 ・セキュリティチェックシート ・セキュリティ情報発信 など

23. 続けて、 お話ししたいところですが、 続きは、入社後に

24. ご清聴 ありがとうございました