Slide 1

Slide 1 text

【企業紹介イベント】⽇本経済新聞社 セキュリティ‧キャンプ全国⼤会2023 2023年8⽉8⽇

Slide 2

Slide 2 text

本⽇のアジェンダ ● ⾃⼰紹介 ● ⽇本経済新聞社について ● ⽇経のエンジニア ● プロダクトセキュリティの取組み ● インターン募集中 2

Slide 3

Slide 3 text

 ㈱⽇本経済新聞社  CDIO室 セキュリティエンジニア   藤⽥ 尚宏(CISSP、GCIH) ● 2022年4⽉⼊社(中途) ● 元 警視庁特別捜査官(サイバー犯罪捜査官) ● 元 オープン系エンジニア(SES, SIer, ベンダー) ● 主なお仕事 ● プロダクトセキュリティチームのリーダー ● プロダクトセキュリティ/DevSecOpsの企画‧推進 ● 趣味 ● #hobby-we-love-beer, #hobby-gyozabu, #hobby-coffee ● #hobby-flower, #hobby-splatoon 発表者のプロフィール 3

Slide 4

Slide 4 text

会社概要 4 会社名 株式会社 ⽇本経済新聞社 代表者 代表取締役社⻑ ⻑⾕部 剛 資本⾦ 25億円 社員数 3,043⼈(2022年12⽉末) 事業内容 新聞を中核とする事業持株会社。雑誌、 書籍、電⼦メディア、データベースサー ビス、速報、電波、映像、経済‧⽂化事 業などを展開 創刊 1876年(明治9年) 12⽉2⽇

Slide 5

Slide 5 text

5 Value 独⽴ / クオリティー / 先進性 / 多様性 Independence / Quality / Innovation / Diversity Purpose 考え、伝える。より⾃由で豊かな世界のために。 Better insights for a better world Mission 質の⾼い報道とサービスで 読者‧顧客の判断を助け 世界で最も公正で信頼されるメディアになる To be the most trusted, independent provider of quality journalism to a global community, helping our customers make better decisions. 理念

Slide 6

Slide 6 text

⽇経グループ 6 フィナンシャル‧タイムズ‧グループ 出版系 ⽇経BP ⽇経サイエンス ⽇経ナショナルジオグラフィック デジタル系 ⽇経メディアマーケティング QUICK 放送系 テレビ東京ホールディングス ⽇経CNBC ラジオNIKKEI ⽇経映像 販売系 ⽇経メディアプロモーション ⽇経ピーアール 広告系 ⽇本経済社 ⽇経イベント‧プロ ⼈材教育系 ⽇経HR ⽇経FTラーニング 海外系 ⽇経グループアジア本社 ⽇経アメリカ社 ⽇経ヨーロッパ社 ⽇経中国(⾹港)社 ⽇経創意(北京)社 など

Slide 7

Slide 7 text

沿⾰ 7

Slide 8

Slide 8 text

8 ⽇経電⼦版  有料会員数は約83万⼈*1 ● 経済分野のニュースを中⼼に、ウェブサイト、スマ ホアプリで配信 ● 新聞に載っていない記事や、Myニュース、AI推薦 などのパーソナライズ機能を提供 ● 新聞のレイアウトで読める紙⾯ビューアーを提供 ● 読者の60.2%が勤務先での役職者。 ● 平均世帯年収は906万円*2 *1. 2022年7月26日時点 https://www.nikkei.com/article/DGKKZO62674820V10C22A7CT0000/ *2. 2022年1月1日時点 https://marketing.nikkei.com/media/web/audience/

Slide 9

Slide 9 text

・ 日経電子版 ・ 日経ID(ID基盤、課金決済) ・ 日経転職版 ・ NIKKEI Prime ・ Nikkei Asia 日経のプロダクト ・ 法人向け日経電子版 (PRO, FOR OFFICE) ・ 日経テレコン ・ 日経NEEDS ・ 日経バリューサーチ ・ 日経リスク&コンプライアンス ・ 日経スマートクリップ ・ 日経COMPASS BtoC 9 BtoB ・ 日経マガジン ・ 各種イベント ・ 日経リスキリング ・ 日経オフィスパス 内部向け ・ データ基盤(Atlas) ・ 契約管理(IMS) その他サービス

Slide 10

Slide 10 text

10 ⽇経のエンジニア

Slide 11

Slide 11 text

エンジニア⼈材 新卒、社会⼈採⽤の割合は1:1 総勢80名超 エンジニア、データサイエンティスト、セキュリティエンジニアなど幅広いスキル 11 more…

Slide 12

Slide 12 text

モダンなアーキテクチャ 12

Slide 13

Slide 13 text

多種多様なアプリ開発 13

Slide 14

Slide 14 text

14 対外発表を推奨

Slide 15

Slide 15 text

15 発表スライドの⼀例(⼀部、弊社技術ブログHack The Nikkeiで公開中)

Slide 16

Slide 16 text

16 開発環境‧活動⽀援

Slide 17

Slide 17 text

17 ⽇経における セキュリティへの挑戦

Slide 18

Slide 18 text

プロダクトセキュリティチーム ● 発足:2021年1月 ● ミッション: ○ 日経のデジタルプロダクトのセキュリティリスクをコントロールして 事業成長に貢献する ● 目標: ○ DevSecOpsによりデジタル事業のサービスで保有する情報を適切に守ること、開 発者の体験・開発速度を損なわないことを同時に目指す 18

Slide 19

Slide 19 text

変化とリスク ● 変化にはリスクを伴う ● 変化しないことによるリスクも伴う ● エンジニアは技術によって変化を起こすことが仕事 セキュリティは、リスクに適切に対処し 安心して変化するための手段である 19

Slide 20

Slide 20 text

DevSecOps概観 20 Plan セキュリティレビュー Code SAST (静的アプリケーションセキュリティテスト) コードレビュー Build CI / CD パイプライン Test DAST (動的アプリケーションセキュリティテスト) Deploy 脆弱性診断 Operate クラウドセキュリティテンプレート バグバウンティプログラム Monitor セキュリティ監視(SOC) インシデントレスポンス Dev Ops Dev/Ops Sec 脅威モデリング

Slide 21

Slide 21 text

セキュリティレビュー・脅威モデリング 21 開発チームとセキュリティチームが協力し、早期にリスクを発見するための活動 上図は架空のウェブサービスを対象としたものです。

Slide 22

Slide 22 text

Webセキュリティ 22 セキュリティ報告窓口(security.txt)の公開 (2022年4月に公開された技術仕様(RFC9116)への対応) 有志の ホワイトハッカー ①脆弱性発見 ②報告先確認 ③報告 国内外から報告実績あり セキュリティ報告窓口 (セキュリティチーム) ④共有 日経 デジタル関連部署 日経 デジタル関連部署 デジタル関連部署 その他部署 海外拠点 など セキュリティ インシデント対応 チーム ④共有 日経のサービス

Slide 23

Slide 23 text

パブリッククラウド セキュリティ監視基盤の構築 23 SOC 組織 セキュリティ 監視基盤 通知 本番環境 A 通知 開発担当者 … セキュリティチーム 本番環境 B 本番環境 C 監視 ・監視基盤の適用  ・通知ルール整備 ・アラート対応相談 ・点検 (Slack, レポート) ログ 操作 連携

Slide 24

Slide 24 text

セキュリティチームの発信 SECCON Beginners 2023 Writeup     新卒エンジニア研修2023(セキュリティ) 24

Slide 25

Slide 25 text

宣伝 (Student Bug Bounty Battle Royal) 学生向けバグバウンティプログラム 期間:2023年8月9日ー31日 セキュリティ・キャンプが終わったらぜひご参加下さい! 25

Slide 26

Slide 26 text

1.独学  ・ 書籍、資料、勉強会、Twitter、Slack  ・ 規格、フレームワーク、ベンチマークを読む  ・ CTF(Capture The Flag)への取り組み 参考:https://hack.nikkei.com/blog/ctf4b202206/ 2.専門教育  ・ セキュアコーディング研修「KENRO」  ・ セキュリティ・キャンプの聴講  ・ 有償講習(CompTIA、(ISC)²、クラウドセキュリティ等)   3.資格取得  ・ 情報処理安全確保支援士  ・ CompTIA、CISSP等  ・ クラウド関連資格(AWS/GCP) セキュリティスキルをどのように身につけるか 26 IPA(情報処理推進機構):安全なウェブサイトの作り方 https://www.ipa.go.jp/security/vuln/websecurity.html

Slide 27

Slide 27 text

27 Question? インターン募集中です