ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security

OWASP Kansai #owaspkansai ITセキュリティにおける社外活動と社内活動の一事例 Fenrir Design Techno #3 「組織やコミュニティのデザインに求められる要素とは？」

OWASP Kansai #owaspkansai Who am I ? 森田智彦（３７）社会人１３年目
某・家電メーカーにて自社製品の品質評価の一環でセキュリティ診断の業務に従事 ⇒いわゆるホワイトハッカーセキュリティ・コミュニティOWASPの関西支部リーダー 2

OWASP Kansai #owaspkansai What is OWASP？

OWASP Kansai #owaspkansai OWASPとはみんなの力でウェブでできたもんのセキュリティを何とかする活動

OWASP Kansai #owaspkansai OWASPの活動例：ガイドラインの制定【OWASP TOP 10】 3年に一度、Webアプリケーションの注意すべき脆弱性と対策をまとめて公表：ソフトウェアの開発
【OWASP ZAP】オープンソースの脆弱性診断ツール：コミュニティの支援【Local Chapter】世界中に２００を超えるITセキュリティコミュニティ 5

OWASP Kansai #owaspkansai 国内のOWASPローカルチャプター 6 Akita 2017/05 50人 Fukushima 2016/02
20人 Sendai 2015/09 180人 Natori 2017/03 100人 Okinawa 2016/02 180人 Hokushinetsu 2017/05 20人 Kyushu 2015/02 140人 Nagoya 2017/06 380人 Japan 2011/12 2600人 Kansai 2014/02 940人

OWASP Kansai #owaspkansai セキュリティ本日の主題「組織やコミュニティ」 • 組織デザインに求められる要素とは・・・？ • セキュリティ業界という切り口で
• 社内外の活動における「事例や工夫」をご紹介 7 OWASP 社外コミュニティ家電メーカー社内の組織

OWASP Kansai #owaspkansai 導入：セキュリティって大変 • まだまだ歴史が浅く人材不足 • 技術の進歩が非常に速く、追いかけるのは大変 •
攻撃者のほうがスキルが高く、圧倒的に有利 • いざ問題が起こるとビジネスが継続できなくなる 8

OWASP Kansai #owaspkansai セキュリティよろしくって言われても • 本を読んでも、具体例が少なく、よくわからん • いざ困ったときに、誰に相談したらいいかわからない • 上司／出入りの営業さんの言ってること、
本当に正しいのだろうか • ひとり／一社で守っていくには、限界がある 9

OWASP Kansai #owaspkansai 前半：コミュニティへの参加 • 社外に出よう • 新しい情報に触れて、目利きする眼を育てよう • さまざまな立場の人の意見を聞いて、複数のモノサシを持とう
• ひとり／一社で守っていくものではない！！ • みんなの知見を持ち寄ろう • 発表すればするほど、有用な情報が集まってくる • コミュニティ活動が大事 10

OWASP Kansai #owaspkansai セミナーとコミュニティの違い比較項目セミナーコミュニティ学べる内容大きなテーマに沿った講義ほぼ想定どおりの内容
玉石混合素敵な偶然、セレンディピティ参加費用無料～十数万円ほぼ無料講師と参加者一方通行の講義質問しにくい雰囲気双方向、講師にも学び気軽に意見交換参加者同士ほとんどない来て、そのまま帰る密接なかかわり新しい出会い商業的な偏り商用ツールに限定した手厚いサポート商業的なポジショントーク特定ベンダーによらない腹を割った、ぶっちゃけトーク業務認定多くの場合は業務内の活動多くの場合は、個人の趣味レベル所属によって理解の度合いはそれぞれ 11

OWASP Kansai #owaspkansai なぜコミュニティ活動が活発なのか • もともとIT勉強会は、有志のコミュニティ活動が活発 • 発信／アウトプットが重視されている • 整理することで理解度が深まる
• 一緒に活動していく仲間ができる • 公開、シェアすることが評価される文化 • OSS的なエコシステム • ソースや仕様を公開することで、継続的ブラッシュアップ、脆弱性の修正 • 独自方式や仕様を隠すこと、セキュリティ的には得策ではない場合が多い • 攻撃に対して、みんなで連携して備える • 迅速に情報共有するために、国や組織、業界団体同士のネットワーク • 個人レベルでも同じ 12 [参考]ssmjp インフラ運用勉強会 https://ssmjp.connpass.com/

OWASP Kansai #owaspkansai 用語：ハック？ハッカー？ 13 • ハッキング：悪いイメージ、クラッキング • ハック：本来良いイメージ、スマートに生き抜く知恵や工夫

OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない：誰でも参加できるよう幅広いコンテンツを用意 14 ・セミナー形式大規模な人数発表を話題のテーマに統一
・ハンズオン形式少人数で密度を濃く PCを持ち寄って技術習得・ゲーム形式非技術者でも気軽に参加できるセキュリティボードゲーム

OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない：幅広いコンテンツを用意 15 ・ビアバッシュ形式ごった煮感、関西らしさセキュリティに興味がなくても
行ってみたくなる勉強会

OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上：徹底した映え重視 16 ・大胆なローカライズかわいいおもろい
楽しそう京阪神・もともとは蜂（WASP）お固いしらんがななんじゃこれ英語

OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上：徹底した映え重視 17 ・エンジニア、PCにステッカー貼りがち問題

OWASP Kansai #owaspkansai コミュニティ運営におけるハック③ • 適度な新陳代謝：他のコミュニティとの連携 18 ・学生に来てもらうのではなく、大学で出前開催・他のコミュニティの
告知を歓迎

OWASP Kansai #owaspkansai 結果：圧倒的進捗 • コミュニティ加入者の拡大！ • 現在のコミュニティ人数：950人
• ぜひ遊びに来てください 19

OWASP Kansai #owaspkansai 後半 • 家電メーカーでの、自組織の話 20 セキュリティ OWASP 社外コミュニティ
家電メーカー社内の組織

OWASP Kansai #owaspkansai 私と組織の話 • 某家電メーカーに２００７年入社 • ２０１２年まで • ハードウェアの品質評価担当だった
• 通信線や電子回路の通信強度や電磁ノイズの計測業務 • 「君、通信詳しかったよね」くらいのノリで • 突然の異動 • ソフトウェア品質評価、自社製品のセキュリティ診断 • HTTPって何？くらいのレベル 21

OWASP Kansai #owaspkansai 深刻なセキュリティ人材不足 • ハッキング・・・魅力的な業務！ • 一方、組織の課題 • IoTセキュリティの注目度高→業務案件数がどんどん増加
• 攻撃手法の多様化・高度化→業務の難易度がますますUP • 職人気質の技術者 →チーム内のノウハウ共有に課題 • 世間は人材獲得競争激化 →メーカーの一部署では認知度不足 • そして環境の悪化 22

OWASP Kansai #owaspkansai 課題の解決 • 解決策？ • ①社内の部署異動で人員確保（※私もその一人） • ②個人のスキルを高め、ひたすら頑張る
• ③自動ツールの導入や業務効率化 • なんとかこの現状を変えたい！ • ④があるはず！ • 持ち前のポジティブさ • 他部署からの編入による岡目八目 • コミュニティで得られる新しい情報 • ホワイトハッカー的アプローチ 23

OWASP Kansai #owaspkansai カイシャハック（造語） • 会社の仕組みを有効活用し、柔軟なアプローチで課題解決すること • 正しいプロトコルを理解して、正しいポートにさまざまなコマンドを送れば、 • 巨大なブラックボックス装置も動きだす
• 正しいポート＝協力者を見極める • 直属の上司、斜め上の上司、さらに上の上司、あるいは同僚、同志 • 人事、採用、広報、労働組合などの他部署 • 正しいと思ったことを、ただやるだけ • 会社の中でやっちゃダメなことは意外と少ない • 多くの場合は、自ら制限をかけてしまっているだけ • これは禁止されている＝そこまでなら大丈夫 • 怒られそう＝あやまったら大丈夫 • それはあなたの業務じゃない＝結果につながるアプローチは一つではない • それは自分の業務じゃない＝同じ結果なら面白い方を選んでは？ 24

OWASP Kansai #owaspkansai ④他の策＝リクルーティング • ハック１：社外からの認知向上 • カンファレンスやIT勉強会での技術発表 • クラウドソーシングでのロゴ作成やノベルティ配布
• 各種イベント協賛し、学生へアプローチできる専用チャネル確保 • ハック２：部署内の風土づくり • 作業服からロゴ入りチームウェア、チーム感の醸成 • 社外勉強会の情報をシェアして、脱・ひきこもりを促す • 業務外にみられがちな活動を「これも仕事」と上司の理解を得る 25

OWASP Kansai #owaspkansai ④他の策＝リクルーティング • ハック３：独自のリクルーティング活動 • 現場の技術者が外に出向く • 人事・採用による従来の新卒一括採用に依存しない
• 会社単位ではなく、部署独自の見学会やインターンを開催 • ハック４：前例にとらわれない • 即戦力の人材として高専をターゲット • 前例「本社は大卒以上」に縛られがちな人事・採用担当を説得 • 約５年間の④活動の結果 • 2019年度の新卒入社３名（高専卒を含む） • 部署内には、積極的にノウハウ共有する文化 26

OWASP Kansai #owaspkansai まとめ • コミュニティの活動への参画は、多大なメリットがある • OWASP Kansaiに遊びに来てください •
がっつりセキュリティの人も • いきなりセキュリティの人も • これからセキュリティの人も • 会社の仕組みやシゴトもハックできる • やりたいことをやって楽しくはたらきましょう！ 27 みんなの窓口

28 さまざまな活動を行う上で勇気づけられた言葉

29 以前の職場の所長「おまえは、おれのこと騙しきったらええねん心配すんな責任取るのは俺やから」

30 現在の職場の所長「提案資料とかいらんでおまえのやりたいことは判ってる」

31 CTO 「積極的に社外に飛び出し、インプットの質と量の獲得に貪欲に取り組んでください」

32 斜め上の上司「 By name で仕事する時代やで会社の名前ではなく」

ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber s...

ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security

OWASP Kansai

More Decks by OWASP Kansai

Other Decks in Design

Featured

Transcript

OWASP Kansai #owaspkansai ITセキュリティにおける社外活動と社内活動の一事例 Fenrir Design Techno #3 「組織やコミュニティのデザインに求められる要素とは？」

OWASP Kansai #owaspkansai Who am I ? 森田智彦（３７）社会人１３年目

OWASP Kansai #owaspkansai What is OWASP？

OWASP Kansai #owaspkansai OWASPとはみんなの力でウェブでできたもんのセキュリティを何とかする活動

OWASP Kansai #owaspkansai OWASPの活動例：ガイドラインの制定【OWASP TOP 10】 3年に一度、Webアプリケーションの注意すべき脆弱性と対策をまとめて公表：ソフトウェアの開発

OWASP Kansai #owaspkansai 国内のOWASPローカルチャプター 6 Akita 2017/05 50人 Fukushima 2016/02

OWASP Kansai #owaspkansai セキュリティ本日の主題「組織やコミュニティ」 • 組織デザインに求められる要素とは・・・？ • セキュリティ業界という切り口で

OWASP Kansai #owaspkansai 導入：セキュリティって大変 • まだまだ歴史が浅く人材不足 • 技術の進歩が非常に速く、追いかけるのは大変 •

OWASP Kansai #owaspkansai セキュリティよろしくって言われても • 本を読んでも、具体例が少なく、よくわからん • いざ困ったときに、誰に相談したらいいかわからない • 上司／出入りの営業さんの言ってること、

OWASP Kansai #owaspkansai 前半：コミュニティへの参加 • 社外に出よう • 新しい情報に触れて、目利きする眼を育てよう • さまざまな立場の人の意見を聞いて、複数のモノサシを持とう

OWASP Kansai #owaspkansai セミナーとコミュニティの違い比較項目セミナーコミュニティ学べる内容大きなテーマに沿った講義ほぼ想定どおりの内容

OWASP Kansai #owaspkansai なぜコミュニティ活動が活発なのか • もともとIT勉強会は、有志のコミュニティ活動が活発 • 発信／アウトプットが重視されている • 整理することで理解度が深まる

OWASP Kansai #owaspkansai 用語：ハック？ハッカー？ 13 • ハッキング：悪いイメージ、クラッキング • ハック：本来良いイメージ、スマートに生き抜く知恵や工夫

OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない：誰でも参加できるよう幅広いコンテンツを用意 14 ・セミナー形式大規模な人数発表を話題のテーマに統一

OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない：幅広いコンテンツを用意 15 ・ビアバッシュ形式ごった煮感、関西らしさセキュリティに興味がなくても

OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上：徹底した映え重視 16 ・大胆なローカライズかわいいおもろい

OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上：徹底した映え重視 17 ・エンジニア、PCにステッカー貼りがち問題

OWASP Kansai #owaspkansai コミュニティ運営におけるハック③ • 適度な新陳代謝：他のコミュニティとの連携 18 ・学生に来てもらうのではなく、大学で出前開催・他のコミュニティの

OWASP Kansai #owaspkansai 結果：圧倒的進捗 • コミュニティ加入者の拡大！ • 現在のコミュニティ人数：950人

OWASP Kansai #owaspkansai 後半 • 家電メーカーでの、自組織の話 20 セキュリティ OWASP 社外コミュニティ

OWASP Kansai #owaspkansai 私と組織の話 • 某家電メーカーに２００７年入社 • ２０１２年まで • ハードウェアの品質評価担当だった

OWASP Kansai #owaspkansai 深刻なセキュリティ人材不足 • ハッキング・・・魅力的な業務！ • 一方、組織の課題 • IoTセキュリティの注目度高→業務案件数がどんどん増加

OWASP Kansai #owaspkansai 課題の解決 • 解決策？ • ①社内の部署異動で人員確保（※私もその一人） • ②個人のスキルを高め、ひたすら頑張る

OWASP Kansai #owaspkansai ④他の策＝リクルーティング • ハック１：社外からの認知向上 • カンファレンスやIT勉強会での技術発表 • クラウドソーシングでのロゴ作成やノベルティ配布

OWASP Kansai #owaspkansai ④他の策＝リクルーティング • ハック３：独自のリクルーティング活動 • 現場の技術者が外に出向く • 人事・採用による従来の新卒一括採用に依存しない

OWASP Kansai #owaspkansai まとめ • コミュニティの活動への参画は、多大なメリットがある • OWASP Kansaiに遊びに来てください •

28 さまざまな活動を行う上で勇気づけられた言葉

29 以前の職場の所長「おまえは、おれのこと騙しきったらええねん心配すんな責任取るのは俺やから」

30 現在の職場の所長「提案資料とかいらんでおまえのやりたいことは判ってる」

31 CTO 「積極的に社外に飛び出し、インプットの質と量の獲得に貪欲に取り組んでください」

32 斜め上の上司「 By name で仕事する時代やで会社の名前ではなく」