Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security

OWASP Kansai
February 05, 2020

ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security

「Fenrir Design Techno #3
~組織やコミュニティのデザインに求められる要素とは?~」
にて、OWASP Kansai 森田智彦の発表資料です。
 #会社ハック

OWASP Kansai

February 05, 2020
Tweet

More Decks by OWASP Kansai

Other Decks in Design

Transcript

  1. OWASP Kansai #owaspkansai Who am I ? 森田 智彦(37) 社会人13年目

    某・家電メーカーにて 自社製品の品質評価の一環で セキュリティ診断の業務に従事 ⇒いわゆるホワイトハッカー セキュリティ・コミュニティOWASPの 関西支部リーダー 2
  2. OWASP Kansai #owaspkansai OWASPの活動例 :ガイドラインの制定 【OWASP TOP 10】 3年に一度、Webアプリケーションの注意すべき脆弱性と対策をまとめて公表 :ソフトウェアの開発

    【OWASP ZAP】 オープンソースの脆弱性診断ツール :コミュニティの支援 【Local Chapter】 世界中に200を超えるITセキュリティコミュニティ 5
  3. OWASP Kansai #owaspkansai 国内のOWASPローカルチャプター 6 Akita 2017/05 50人 Fukushima 2016/02

    20人 Sendai 2015/09 180人 Natori 2017/03 100人 Okinawa 2016/02 180人 Hokushinetsu 2017/05 20人 Kyushu 2015/02 140人 Nagoya 2017/06 380人 Japan 2011/12 2600人 Kansai 2014/02 940人
  4. OWASP Kansai #owaspkansai 導入:セキュリティって大変 • まだまだ歴史が浅く人材不足 • 技術の進歩が非常に速く、追い かけるのは大変 •

    攻撃者のほうがスキルが高く、 圧倒的に有利 • いざ問題が起こるとビジネスが 継続できなくなる 8
  5. OWASP Kansai #owaspkansai 前半:コミュニティへの参加 • 社外に出よう • 新しい情報に触れて、目利きする眼を育てよう • さまざまな立場の人の意見を聞いて、複数のモノサシを持とう

    • ひとり/一社で守っていくものではない!! • みんなの知見を持ち寄ろう • 発表すればするほど、有用な情報が集まってくる • コミュニティ活動が大事 10
  6. OWASP Kansai #owaspkansai セミナーとコミュニティの違い 比較項目 セミナー コミュニティ 学べる内容 大きなテーマに沿った講義 ほぼ想定どおりの内容

    玉石混合 素敵な偶然、セレンディピティ 参加費用 無料~十数万円 ほぼ無料 講師と参加者 一方通行の講義 質問しにくい雰囲気 双方向、講師にも学び 気軽に意見交換 参加者同士 ほとんどない 来て、そのまま帰る 密接なかかわり 新しい出会い 商業的な偏り 商用ツールに限定した手厚いサポート 商業的なポジショントーク 特定ベンダーによらない 腹を割った、ぶっちゃけトーク 業務認定 多くの場合は業務内の活動 多くの場合は、個人の趣味レベル 所属によって理解の度合いはそれぞれ 11
  7. OWASP Kansai #owaspkansai なぜコミュニティ活動が活発なのか • もともとIT勉強会は、有志のコミュニティ活動が活発 • 発信/アウトプットが重視されている • 整理することで理解度が深まる

    • 一緒に活動していく仲間ができる • 公開、シェアすることが評価される文化 • OSS的なエコシステム • ソースや仕様を公開することで、継続的ブラッシュアップ、脆弱性の修正 • 独自方式や仕様を隠すこと、セキュリティ的には得策ではない場合が多い • 攻撃に対して、みんなで連携して備える • 迅速に情報共有するために、国や組織、業界団体同士のネットワーク • 個人レベルでも同じ 12 [参考]ssmjp インフラ運用勉強会 https://ssmjp.connpass.com/
  8. OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない:誰でも参加できるよう幅広いコンテンツを用意 14 ・セミナー形式 大規模な人数 発表を話題のテーマに統一

    ・ハンズオン形式 少人数で密度を濃く PCを持ち寄って技術習得 ・ゲーム形式 非技術者でも気軽に参加できる セキュリティボードゲーム
  9. OWASP Kansai #owaspkansai 私と組織の話 • 某家電メーカーに2007年入社 • 2012年まで • ハードウェアの品質評価担当だった

    • 通信線や電子回路の通信強度や電磁ノイズの計測業務 • 「君、通信詳しかったよね」くらいのノリで • 突然の異動 • ソフトウェア品質評価、自社製品のセキュリティ診断 • HTTPって何?くらいのレベル 21
  10. OWASP Kansai #owaspkansai 深刻なセキュリティ人材不足 • ハッキング・・・魅力的な業務! • 一方、組織の課題 • IoTセキュリティの注目度高→業務案件数がどんどん増加

    • 攻撃手法の多様化・高度化→業務の難易度がますますUP • 職人気質の技術者 →チーム内のノウハウ共有に課題 • 世間は人材獲得競争激化 →メーカーの一部署では認知度不足 • そして環境の悪化 22
  11. OWASP Kansai #owaspkansai 課題の解決 • 解決策? • ①社内の部署異動で人員確保(※私もその一人) • ②個人のスキルを高め、ひたすら頑張る

    • ③自動ツールの導入や業務効率化 • なんとかこの現状を変えたい! • ④があるはず! • 持ち前のポジティブさ • 他部署からの編入による岡目八目 • コミュニティで得られる新しい情報 • ホワイトハッカー的アプローチ 23
  12. OWASP Kansai #owaspkansai カイシャハック(造語) • 会社の仕組みを有効活用し、柔軟なアプローチで課題解決すること • 正しいプロトコルを理解して、正しいポートにさまざまなコマンドを送れば、 • 巨大なブラックボックス装置も動きだす

    • 正しいポート=協力者を見極める • 直属の上司、斜め上の上司、さらに上の上司、あるいは同僚、同志 • 人事、採用、広報、労働組合などの他部署 • 正しいと思ったことを、ただやるだけ • 会社の中でやっちゃダメなことは意外と少ない • 多くの場合は、自ら制限をかけてしまっているだけ • これは禁止されている = そこまでなら大丈夫 • 怒られそう = あやまったら大丈夫 • それはあなたの業務じゃない = 結果につながるアプローチは一つではない • それは自分の業務じゃない = 同じ結果なら面白い方を選んでは? 24
  13. OWASP Kansai #owaspkansai ④他の策=リクルーティング • ハック1:社外からの認知向上 • カンファレンスやIT勉強会での技術発表 • クラウドソーシングでのロゴ作成やノベルティ配布

    • 各種イベント協賛し、学生へアプローチできる専用チャネル確保 • ハック2:部署内の風土づくり • 作業服からロゴ入りチームウェア、チーム感の醸成 • 社外勉強会の情報をシェアして、脱・ひきこもりを促す • 業務外にみられがちな活動を「これも仕事」と上司の理解を得る 25
  14. OWASP Kansai #owaspkansai ④他の策=リクルーティング • ハック3:独自のリクルーティング活動 • 現場の技術者が外に出向く • 人事・採用による従来の新卒一括採用に依存しない

    • 会社単位ではなく、部署独自の見学会やインターンを開催 • ハック4:前例にとらわれない • 即戦力の人材として高専をターゲット • 前例「本社は大卒以上」に縛られがちな人事・採用担当を説得 • 約5年間の④活動の結果 • 2019年度の新卒入社3名(高専卒を含む) • 部署内には、積極的にノウハウ共有する文化 26
  15. OWASP Kansai #owaspkansai まとめ • コミュニティの活動への参画は、多大なメリットがある • OWASP Kansaiに遊びに来てください •

    がっつりセキュリティの人も • いきなりセキュリティの人も • これからセキュリティの人も • 会社の仕組みやシゴトもハックできる • やりたいことをやって楽しくはたらきましょう! 27 みんなの窓口