ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security

341ac9f717b3904d6674784c0fcd9cf2?s=47 OWASP Kansai
February 05, 2020

ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security

「Fenrir Design Techno #3
~組織やコミュニティのデザインに求められる要素とは?~」
にて、OWASP Kansai 森田智彦の発表資料です。
 #会社ハック

341ac9f717b3904d6674784c0fcd9cf2?s=128

OWASP Kansai

February 05, 2020
Tweet

Transcript

  1. OWASP Kansai #owaspkansai ITセキュリティにおける 社外活動と社内活動の一事例 Fenrir Design Techno #3 「組織やコミュニティのデザインに求められる要素とは?」

  2. OWASP Kansai #owaspkansai Who am I ? 森田 智彦(37) 社会人13年目

    某・家電メーカーにて 自社製品の品質評価の一環で セキュリティ診断の業務に従事 ⇒いわゆるホワイトハッカー セキュリティ・コミュニティOWASPの 関西支部リーダー 2
  3. OWASP Kansai #owaspkansai What is OWASP?

  4. OWASP Kansai #owaspkansai OWASPとは みんなの力で ウェブで できたもんの セキュリティを 何とかする活動

  5. OWASP Kansai #owaspkansai OWASPの活動例 :ガイドラインの制定 【OWASP TOP 10】 3年に一度、Webアプリケーションの注意すべき脆弱性と対策をまとめて公表 :ソフトウェアの開発

    【OWASP ZAP】 オープンソースの脆弱性診断ツール :コミュニティの支援 【Local Chapter】 世界中に200を超えるITセキュリティコミュニティ 5
  6. OWASP Kansai #owaspkansai 国内のOWASPローカルチャプター 6 Akita 2017/05 50人 Fukushima 2016/02

    20人 Sendai 2015/09 180人 Natori 2017/03 100人 Okinawa 2016/02 180人 Hokushinetsu 2017/05 20人 Kyushu 2015/02 140人 Nagoya 2017/06 380人 Japan 2011/12 2600人 Kansai 2014/02 940人
  7. OWASP Kansai #owaspkansai セキュリティ 本日の主題「組織やコミュニティ」 • 組織デザインに求められる要素とは ・・・? • セキュリティ業界という切り口で

    • 社内外の活動における「事例や工夫」をご紹介 7 OWASP 社外コミュニティ 家電メーカー 社内の組織
  8. OWASP Kansai #owaspkansai 導入:セキュリティって大変 • まだまだ歴史が浅く人材不足 • 技術の進歩が非常に速く、追い かけるのは大変 •

    攻撃者のほうがスキルが高く、 圧倒的に有利 • いざ問題が起こるとビジネスが 継続できなくなる 8
  9. OWASP Kansai #owaspkansai セキュリティよろしくって言われても • 本を読んでも、具体例が少なく、よくわからん • いざ困ったときに、誰に相談したらいいかわからない • 上司/出入りの営業さんの言ってること、

    本当に正しいのだろうか • ひとり/一社で守っていくには、限界がある 9
  10. OWASP Kansai #owaspkansai 前半:コミュニティへの参加 • 社外に出よう • 新しい情報に触れて、目利きする眼を育てよう • さまざまな立場の人の意見を聞いて、複数のモノサシを持とう

    • ひとり/一社で守っていくものではない!! • みんなの知見を持ち寄ろう • 発表すればするほど、有用な情報が集まってくる • コミュニティ活動が大事 10
  11. OWASP Kansai #owaspkansai セミナーとコミュニティの違い 比較項目 セミナー コミュニティ 学べる内容 大きなテーマに沿った講義 ほぼ想定どおりの内容

    玉石混合 素敵な偶然、セレンディピティ 参加費用 無料~十数万円 ほぼ無料 講師と参加者 一方通行の講義 質問しにくい雰囲気 双方向、講師にも学び 気軽に意見交換 参加者同士 ほとんどない 来て、そのまま帰る 密接なかかわり 新しい出会い 商業的な偏り 商用ツールに限定した手厚いサポート 商業的なポジショントーク 特定ベンダーによらない 腹を割った、ぶっちゃけトーク 業務認定 多くの場合は業務内の活動 多くの場合は、個人の趣味レベル 所属によって理解の度合いはそれぞれ 11
  12. OWASP Kansai #owaspkansai なぜコミュニティ活動が活発なのか • もともとIT勉強会は、有志のコミュニティ活動が活発 • 発信/アウトプットが重視されている • 整理することで理解度が深まる

    • 一緒に活動していく仲間ができる • 公開、シェアすることが評価される文化 • OSS的なエコシステム • ソースや仕様を公開することで、継続的ブラッシュアップ、脆弱性の修正 • 独自方式や仕様を隠すこと、セキュリティ的には得策ではない場合が多い • 攻撃に対して、みんなで連携して備える • 迅速に情報共有するために、国や組織、業界団体同士のネットワーク • 個人レベルでも同じ 12 [参考]ssmjp インフラ運用勉強会 https://ssmjp.connpass.com/
  13. OWASP Kansai #owaspkansai 用語:ハック?ハッカー? 13 • ハッキング:悪いイメージ、クラッキング • ハック:本来良いイメージ、スマートに生き抜く知恵や工夫

  14. OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない:誰でも参加できるよう幅広いコンテンツを用意 14 ・セミナー形式 大規模な人数 発表を話題のテーマに統一

    ・ハンズオン形式 少人数で密度を濃く PCを持ち寄って技術習得 ・ゲーム形式 非技術者でも気軽に参加できる セキュリティボードゲーム
  15. OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない:幅広いコンテンツを用意 15 ・ビアバッシュ形式 ごった煮感、関西らしさ セキュリティに興味がなくても

    行ってみたくなる勉強会
  16. OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上:徹底した映え重視 16 ・大胆なローカライズ かわいい おもろい

    楽しそう 京阪神 ・もともとは蜂(WASP) お固い しらんがな なんじゃこれ 英語
  17. OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上:徹底した映え重視 17 ・エンジニア、PCに ステッカー貼りがち問題

  18. OWASP Kansai #owaspkansai コミュニティ運営におけるハック③ • 適度な新陳代謝:他のコミュニティとの連携 18 ・学生に来てもらうのでは なく、大学で出前開催 ・他のコミュニティの

    告知を歓迎
  19. OWASP Kansai #owaspkansai 結果:圧倒的進捗 • コミュニティ加入者の 拡大! • 現在のコミュニティ人 数:950人

    • ぜひ遊びに来てくださ い 19
  20. OWASP Kansai #owaspkansai 後半 • 家電メーカーでの、自組織の話 20 セキュリティ OWASP 社外コミュニティ

    家電メーカー 社内の組織
  21. OWASP Kansai #owaspkansai 私と組織の話 • 某家電メーカーに2007年入社 • 2012年まで • ハードウェアの品質評価担当だった

    • 通信線や電子回路の通信強度や電磁ノイズの計測業務 • 「君、通信詳しかったよね」くらいのノリで • 突然の異動 • ソフトウェア品質評価、自社製品のセキュリティ診断 • HTTPって何?くらいのレベル 21
  22. OWASP Kansai #owaspkansai 深刻なセキュリティ人材不足 • ハッキング・・・魅力的な業務! • 一方、組織の課題 • IoTセキュリティの注目度高→業務案件数がどんどん増加

    • 攻撃手法の多様化・高度化→業務の難易度がますますUP • 職人気質の技術者 →チーム内のノウハウ共有に課題 • 世間は人材獲得競争激化 →メーカーの一部署では認知度不足 • そして環境の悪化 22
  23. OWASP Kansai #owaspkansai 課題の解決 • 解決策? • ①社内の部署異動で人員確保(※私もその一人) • ②個人のスキルを高め、ひたすら頑張る

    • ③自動ツールの導入や業務効率化 • なんとかこの現状を変えたい! • ④があるはず! • 持ち前のポジティブさ • 他部署からの編入による岡目八目 • コミュニティで得られる新しい情報 • ホワイトハッカー的アプローチ 23
  24. OWASP Kansai #owaspkansai カイシャハック(造語) • 会社の仕組みを有効活用し、柔軟なアプローチで課題解決すること • 正しいプロトコルを理解して、正しいポートにさまざまなコマンドを送れば、 • 巨大なブラックボックス装置も動きだす

    • 正しいポート=協力者を見極める • 直属の上司、斜め上の上司、さらに上の上司、あるいは同僚、同志 • 人事、採用、広報、労働組合などの他部署 • 正しいと思ったことを、ただやるだけ • 会社の中でやっちゃダメなことは意外と少ない • 多くの場合は、自ら制限をかけてしまっているだけ • これは禁止されている = そこまでなら大丈夫 • 怒られそう = あやまったら大丈夫 • それはあなたの業務じゃない = 結果につながるアプローチは一つではない • それは自分の業務じゃない = 同じ結果なら面白い方を選んでは? 24
  25. OWASP Kansai #owaspkansai ④他の策=リクルーティング • ハック1:社外からの認知向上 • カンファレンスやIT勉強会での技術発表 • クラウドソーシングでのロゴ作成やノベルティ配布

    • 各種イベント協賛し、学生へアプローチできる専用チャネル確保 • ハック2:部署内の風土づくり • 作業服からロゴ入りチームウェア、チーム感の醸成 • 社外勉強会の情報をシェアして、脱・ひきこもりを促す • 業務外にみられがちな活動を「これも仕事」と上司の理解を得る 25
  26. OWASP Kansai #owaspkansai ④他の策=リクルーティング • ハック3:独自のリクルーティング活動 • 現場の技術者が外に出向く • 人事・採用による従来の新卒一括採用に依存しない

    • 会社単位ではなく、部署独自の見学会やインターンを開催 • ハック4:前例にとらわれない • 即戦力の人材として高専をターゲット • 前例「本社は大卒以上」に縛られがちな人事・採用担当を説得 • 約5年間の④活動の結果 • 2019年度の新卒入社3名(高専卒を含む) • 部署内には、積極的にノウハウ共有する文化 26
  27. OWASP Kansai #owaspkansai まとめ • コミュニティの活動への参画は、多大なメリットがある • OWASP Kansaiに遊びに来てください •

    がっつりセキュリティの人も • いきなりセキュリティの人も • これからセキュリティの人も • 会社の仕組みやシゴトもハックできる • やりたいことをやって楽しくはたらきましょう! 27 みんなの窓口
  28. 28 さまざまな活動を行う上で 勇気づけられた言葉

  29. 29 以前の職場の所長 「 おまえは、 おれのこと騙しきったらええねん 心配すんな 責任取るのは俺やから 」

  30. 30 現在の職場の所長 「 提案資料とかいらんで おまえのやりたいことは判ってる 」

  31. 31 CTO 「 積極的に 社外に飛び出し、 インプットの質と量の獲得に 貪欲に取り組んでください 」

  32. 32 斜め上の上司 「 By name で仕事する時代やで 会社の名前ではなく 」