Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20220810_seccam
Search
okazaki hajime
August 12, 2022
Business
0
110
20220810_seccam
会社説明
okazaki hajime
August 12, 2022
Tweet
Share
More Decks by okazaki hajime
See All by okazaki hajime
20171222_owasp_okinawa
okazakihajime
0
760
20171114inCyberAgent
okazakihajime
3
2.1k
20170218inOkinawa
okazakihajime
0
170
Other Decks in Business
See All in Business
スピークバディ_法人事業部紹介
speakbuddy
0
520
株式会社スピークバディ 会社紹介資料
speakbuddy
1
210k
la belle vie Inc. Company Introduction for Merchandiser
recruiting
0
1.9k
ブレインパッドXaaSユニット紹介資料(キャリア採用向けweb公開版 )
brainpadpr
0
14k
HRBP&RPOのご紹介
masakisukeda
0
400
LINEヤフー新卒採用 プロダクトプランナー職種説明資料
lycorp_recruit_jp
0
790
生成AIによる業務利活用アプリを、部門横断チームが3日でPoCを作ってみた!
yukiogawa
0
210
鳥取最上インクス/ 求職者向け会社紹介
oneterasu
0
130
Clarity for Product People
arnekittler
0
460
株式会社ユビレジ_採用ピッチ資料 / Ubiregi_CompanyProfile
ubiregi_saiyo
0
6.1k
M3 Career Culture Deck(セールス&コンサルティング職)
m3c
1
230k
タスクブレイクダウンのすすめ / Recommendations for Task Breakdown
maca_route
1
220
Featured
See All Featured
Building a Modern Day E-commerce SEO Strategy
aleyda
38
6.9k
Building Your Own Lightsaber
phodgson
102
6k
Ruby is Unlike a Banana
tanoku
96
11k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
106
49k
Why You Should Never Use an ORM
jnunemaker
PRO
53
9k
Side Projects
sachag
452
42k
Designing for Performance
lara
604
68k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.1k
Building Applications with DynamoDB
mza
90
6k
Navigating Team Friction
lara
183
14k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Testing 201, or: Great Expectations
jmmastey
38
7k
Transcript
セキュリティキャンプ2022 2022/8/10 サイバーエージェント システムセキュリティ推進グループ 岡崎創
1.サイバーエージェントで働くまで 2.CAのセキュリティグループについて 3.CAでのセキュリティ施策
簡単に自己紹介 •氏名:岡崎 創(おかざき はじめ) •所属:サイバーエージェント > グループIT推進本部 > システムセキュリティ推進グループ > オンサイトチーム •職種:セキュリティエンジニア
•職歴:情報系大学卒業 LAMP環境のフロントエンジニア、その後、LAMP環境インフラエンジニア 転職、Webアプリケーションの脆弱性診断 転職、サイバーエージェントに入社(2015/6〜) •資格:情報処理安全確保支援士、ネットワークスペシャリスト、AWS Security Specialist
サイバーエージェントで働くま で
現状のステータス •セキュリティ関連業務歴:7〜8年間くらい •保有資格: (IPA系) 基本情報技術者、応用情報技術者、 情報処理安全確保支援士、 ネットワークスペシャリスト試験、 (ベンダ系) AWS Certified
Solutions Architect - Associate、 AWS Certified Security - Specialty G検定 IPA試験区分:https://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html
セキュリティエンジニアまで1 •数学が好きだった。 *数学検定・算数検定(実用数学技能検定)2級を高校生の時に合格 *陸上部でした。中距離担当 • 大学は情報系の大学へ *情報セキュリティ関連授業は少なかった *卒業研究は情報セキュリティ関連「スパイウェア」 *この時点では社会にでて、どんな仕事に役立てられるか、イメージがなかった 数学検定 概要:https://www.su-gaku.net/suken/examination/summary/
セキュリティエンジニアまで2 •社会人 *Webアプリケーション開発(ユーザ企業) ー LAMP環境(L → Linux、A → Apache、M → MySQL、P
→ PHP) ー フロントエンド(JavaScript、HTML)、バックエンド(API) DB APIs API API API DB 当時 現在
セキュリティエンジニアまで3 •社会人 *インフラ構築、運用(ユーザ企業) ー サーバの構築、Zabbixを利用してサーバ監視 ー ハイパーバイザ(XenServer) tech target japan:https://techtarget.itmedia.co.jp/tt/news/1507/17/news07.html
セキュリティエンジニアまで4 •社会人 *脆弱性診断士(診断会社) ー Webアプリケーション診断(ブラックボックス診断) ー 診断結果を依頼会社に報告 プロキシツール Webサーバ HTTPS 診断士PC
セキュリティエンジニアまで5 •社会人 *サイバーエージェント(CA)でセキュリティエンジニア(ユーザ企業)
CAのセキュリティグループに ついて
CAにおける共通組織 •共通組織 ・IR・SR室 ・内部統制・内部監査室 ・人事本部 ・全社広報 ・グループIT推進本部(こちら) ・事業部組織 ・ABEMA ・メディア事業部
・AI事業本部 など サイバーエージェント グループIT推進本部 IR・SR室 ABEMA メディア事業部 AI事業本部 SGE事業部
グループIT推進本部 •グループIT推進本部 ・コーポレートIT局 ・全社データ技術局 ・PR Factory ・AOI(Assets & Office Infrastructure)
・システム総務 ・CIU(CyberAgent group Infrastructure Unit) ・システムセキュリティ推進グループ(こちら) グループIT推進本部 コーポレートIT局 CIU システムセキュリティ推進グ ループ 全社データ技術局
システムセキュリティ推進グループ •システムセキュリティ推進グループ(SSG) ・セキュリティガバナンスチーム ・技術チーム ・オペレーションチーム ・脆弱性診断チーム ・オンサイトチーム(私はこちら) SSG オンサイトチーム 技術チーム
セキュリティガバナンスチー ム 脆弱性診断 オペレーションチーム
ミッション •CA:「21世紀を代表とする会社を創る」 •これを受けて、システムセキュリティ推進グループでは 「セキュリティ維持・向上・事後対応を通じて、 CyberAgentグループの成長阻害要因となる ITセキュリティリスクを排除する。」
事業部との関係 •事業部とプロダクト ・事業部:役員、責任者 ・プロダクト:ビジネス責任者、開発責任者、チームリーダ AI事業本部 ・プロダクトC ・プロダクトD メディア事業部 ・プロダクトA ・プロダクトB
SGE事業部 ・プロダクトE ・プロダクトF SSG/オンサイトチーム メディア事業部 担当ユニット AI事業本部 担当ユニット SGE事業部 担当ユニット セキュリティ担当 セキュリティ担当 セキュリティ担当
プロダクトとの関係 •事業部/プロダクトによりFitするセキュリティ対策を提案する 事業部A SSG 事業部B 事業部C SSG SSG 事業部側の体制・特色など セキュリティ対策
過去の経験を生かして •プロダクト(開発側)と一緒にセキュリティ課題を解決 ー 修正コストはどのくらいか ー 恒久的な解決策か API API API DB フロントの処理に 問題がある?
バックエンドの処理に 問題がある? DBの保存時に問題 がある? 例:XSSの場合
CAでのセキュリティ施策
プロダクトセキュリティ強化 •プロダクトセキュリティ強化 ・インシデントハンドリング ・プロダクト管理:システムリストの整備 ・リスクアセスメント:システム毎のリスク整理 プロダクトセキュリティ強化 プロダクト管理 リスク アセスメント インシデント
ハンドリング
事業部ごと •ABEMA/メディア事業部 ・FIFAワールドカップ2022に向けてリスクアセスメント ・スタジオ運営、WinTicketなど •AI事業本部 ・ISMS取得部門のサポート ・大学との共同研究によるデータ共有方法 •SGE事業部 ・SGE独自のリリース判定フロー ・IP(知的財産権)関連
•その他
サービス一覧 •SSGの基本サービス ・PERMAN(権限管理など) ・脆弱性診断 ・パスワードマネージャ ・RISKEN(モニタリング) ・PCエンドポイント強化 ・セキュリティチェックシート ・セキュリティ情報発信 など
続けて、 お話ししたいところですが、 続きは、入社後に
ご清聴 ありがとうございました