検索
連載

CSIRT立ち上げ、セキュリティ内製化、攻撃の研究――いまこそ最前線の声を聞け!@IT セキュリティセミナー 東京・福岡・大阪ロードショーリポート(3)(3/4 ページ)

攻撃に利用するための「全世界の脆弱なDNSサーバーをリストアップ」するのにかかる時間は? CSIRTの立ち上げやセキュリティの内製化など、ここでしか聞けなかったセッションを紹介しよう。

Share
Tweet
LINE
Hatena

ディー・エヌ・エーが語る「情報セキュリティ内製化のススメ」

 インターネットを通じてさまざまなゲームやサービスを提供いているディー・エヌ・エー(DeNA)。そのシステム本部 セキュリティ部部長を務める茂岩祐樹氏は、「事業会社の情報セキュリティ内製化のススメ」と題する講演の中で、決してセキュリティを本業とするわけではない同社が、自社内にセキュリティチームを持ち、検査に取り組んでいる理由を説明した。


ディー・エヌ・エー システム本部 セキュリティ部部長 茂岩祐樹氏

 動きの速いゲーム業界に向け次々と新しいタイトルやサービスを投入しているDeNAだが、「今、スクラッチで書いているのは1割くらいで、ほとんどはオープンソースや既存のコードを使っている。従って、使っているミドルウエアやパッケージにも目を光らせなくてはいけない。もし、オープンソースソフトウエアに問題が見つかったとき、速やかに機能をオフにできるようにするには、どこでどんな機能を使っているか、どんなミドルウエアを使って連携しているかを把握しておく必要がある」(茂岩氏)。それが、内製化のポイントの一つにもなっているそうだ。

 もしソフトウエア開発時に新たなオープンソースソフトウエアを利用したい場合は、自分たちにどういった影響が及ぶ恐れがあるのか、セキュリティチームが確認した上で判断を下している。「便利だからといって何でも使ってしまうと、自分たちのソフトに何を取り込むか分からないことになってしまう」(茂岩氏)。

 もう一つ、同社が自力で取り組んでいるのは「セキュリティ診断」だ。一口にセキュリティと言っても、カバーすべき分野は多岐にわたる。いきなり全てに取り組むのは難しい。「そこで僕らがやったのは、選択と集中。頻度やインパクト、難易度などの観点で見て、うちで取り組むべきは診断だと判断した」(茂岩氏)。

 繰り返しになるが、同社では数ヶ月単位で新たなサービスを開発し、リリースしている。中には手戻りが発生したり、逆にリリースを早めたりすることもあるが、セキュリティ診断を外部の会社に依頼している場合、こうしたスケジュール変更に柔軟に対応してもらうのが難しかった。加えて、ゲームに関するセキュリティ診断の経験がある会社が少なかったこと、自分たちにフィットしたレベル感のレポートを求めていたことなど、いくつかの理由から、自社で実施することに決めたという。

 「最初はスモールスタートでした。ツールはお金をかけずにオープンソースソフトウエアを利用し、人手は自分と、それから少しずつ社内の仲間を探して引き入れていきました」(茂岩氏)。トレーニングを通じたスキルアップや、カンファレンスでヨコのつながりを培うことで、少しずつ体制を強化してきた。

 その中で学んだことが「セキュリティにも、インフラにおけるDevOpsのような取り組みが必要。平たく言えば、開発と運用が仲良くしないとダメということ。開発と運用が分断されていると、後々問題が起こりがちだけれど、運用メンバーが開発設計段階から参加し、フィードバックしていくことで、問題に早く気付いて修正できるようになる。セキュリティも同じで、システムの設計構築段階から食い込むべき」(茂岩氏)。

 そして、「内製が鍵となるのは、組織を理解し、一人称で問題に取り組めるから。中にいる人が責任を持って、開発や企画の人たちと目的を共有して『自分たちの事業だから、一緒に守ろう』と取り組めることがポイントだ」とした。

 ただ、いきなり全てをうまく回そうとしても無理がある。同氏は最後に、「完璧を目指さないこと」「時にはあきらめも重要で、本当に守らないといけないのはどこかを見極め、そこから広げていくこと」といったアドバイスも送っている。

【関連記事】

DevOpsで変わる情シスの未来(3):

DeNAのサービスが強い、速い、本当の理由(@IT)

http://www.atmarkit.co.jp/ait/articles/1311/01/news123.html


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る