【レベル別】どこから始める？プロダクトセキュリティ（NIKKEI Tech Talk #12）

【レベル別】 どこから始める？プロダクトセキュリティ 2023年10⽉19⽇ NIKKEI Teck Talk #12 ⽇本経済新聞社 1

発表者のプロフィール ㈱⽇本経済新聞社 CDIO室(*) セキュリティエンジニア 藤⽥ 尚宏(@tanafuji_sec) ● 2022年4⽉⼊社 ● 元 警視庁特別捜査官(サイバー犯罪捜査官） ● 元 オープン系エンジニア(SES, SIer, ベンダー) ● 主なお仕事 ● プロダクトセキュリティチームのリーダー ● DevSecOpsの企画‧推進‧啓蒙 ● 趣味 ● #hobby-we-love-beer, #hobby-gyozabu (*) CDIO: Chief Digital Information Officerの略 2

プロダクトセキュリティを民主化していきたい 伝えたいこと ● プロダクト開発において、誰でもセキュリティ向上に参加できる ● 各チームやパートナーと協調し、よりよいセキュリティを目指そう 話すこと ● プロダクトセキュリティの切り口を知る ● 日経のプロダクト開発におけるセキュリティの民主化と協調の工夫 3

想定視聴者 ● プラス・セキュリティ人材(*) ○ エンジニア（セキュリティのことも考えながら開発したい） ○ CTO、VPoE、テックリード等（セキュリティについても責任がある） ● セキュリティ専門人材 ○ セキュリティエンジニア（主に事業会社のセキュリティに貢献している） ○ CISO（セキュリティ人材戦略を考えている） ● プロダクトセキュリティに興味ある人 (*) 情報処理推進機構（IPA）によると、「デジタル部⾨、事業部⾨、管理部⾨等でセ キュリティ以外の業務を⽣業とする⼈材がセキュリティ知識‧スキルを学ぶ⼈材」 https://www.ipa.go.jp/jinzai/skill-standard/plus-it-ui/itssplus/security.html 4

• https://www.ipa.go.jp/jinzai/skill-standard/plus-it-ui/itssplus/security.html

一般的な疑問 ● セキュリティ人材が足りない。とは言っても…？ ○ 何のスキルが足りない？ ○ どのように人材を増やす？ ○ どこに足せばよい？ ○ 人手が足りない間、セキュリティは放置していても良い？ ● おことわり ○ 本日はプロダクトセキュリティにフォーカスした登壇のため、いわゆるSIRTやSOC、ガバナンスといっ た領域には触れていません。 ○ 正しくはプロダクトセキュリティチームですが当資料ではセキュリティチームと表記します。 5

プロダクトセキュリティの切り口を知る メタ認知：自分自身(自組織)を客観的に知ることで、次の改善行動につなげる 6

「人」を知る newbies ● セキュリティ初学者：newbies aware “セキュリティに苦手意識がある人” expert ● セキュリティを意識している人：aware “セキュリティに関心はあるものの、現状ではセキュリティの知識が限られており、 今後その 理解を深め、そのスキルを仕事に適用するための実用的な方法を学びたい人” ● セキュリティ専門家：expert “セキュリティに関する多くのことに精通している人” セキュアなソフトウェアの設計と開発（ローレン・コンフェルダー 著）より対象読者の定義を引用 https://www.shuwasystem.co.jp/book/9784798069753.html 7

• https://www.shuwasystem.co.jp/book/9784798069753.html

「動向」を知る セキュリティを意識しはじめてみる ● 内部統制のJ-SOX大改訂 クラウドやサイバー対策焦点 2023年9月29日付 日経電子版 (*1) ○ 規制や法令により対応すべきセキュリティ基準が変わる ● 定期的な変更は不要？ パスワードの今を知るための10選 2023年10月2日付 日経電子版 (*2) ○ セキュリティ実装はトレンドや技術の変化による影響を受ける ● 厚労省のコロナ関連ドメイン名、競売で落札 悪用に懸念 2023年9月29日付 日経電子版 (*3) ○ 利用しなくなった情報資産や、未対応の脆弱性が狙われる *1 https://www.nikkei.com/article/DGXZQOUC217NB0R20C23A9000000/ *2 https://www.nikkei.com/article/DGXZQOUC28AWN0Y3A920C2000000/ *3 https://www.nikkei.com/article/DGXZQOCA27D570X20C23A9000000/ 8

• https://www.nikkei.com/article/DGXZQOUC217NB0R20C23A9000000/
• https://www.nikkei.com/article/DGXZQOUC28AWN0Y3A920C2000000/
• https://www.nikkei.com/article/DGXZQOCA27D570X20C23A9000000/

「基礎」を知る 情報セキュリティの３要素 情報セキュリティマネジメントに関する日本工業規格「JIS Q 27000シリーズ」で定められている ● 機密性(Confidentiality) ○ 定義：認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性 ○ つまり、当事者だけが使える、他人に見せない ● 完全性(Integrity) ○ 定義：正確さ及び完全さの特性 ○ つまり、変更履歴やバックアップ、データ制御等による保護 ● 可用性(Availability) ○ 定義：認可されたエンティティが要求したときに，アクセス及び使用が可能である特性 ○ つまり、使いたいときにいつでも使える ＋α 真正性、責任追及性、否認防止、信頼性 9

「技術」を知る 図 [IPA]セキュリティ・キャンプ全国大会2022 オンライン https://www.ipa.go.jp/jinzai/security-camp/2022/zenkoku/message.html 10

• https://www.ipa.go.jp/jinzai/security-camp/2022/zenkoku/message.html

「仕事」を知る プロダクト開発組織に人材が揃っていることは稀 01 スレットハンター 02 レッドチーマー 03 デジタルフォレンジックアナリスト 04 パープルチーマー 05 マルウェア・アナリスト 06 最高情報セキュリティ責任者（CISO） 07 ブルーチーマー 08 セキュリティアーキテクト＆エンジニア★ 09 インシデントレスポンスチームメンバー★ 10 サイバーセキュリティ・アナリスト/エンジニア 11 OSINT調査員/アナリスト 12 テクニカルディレクター★ 13 クラウドセキュリティアナリスト★ 14 侵入検知/SOCアナリスト 15 セキュリティアウェアネスオフィサー 16 脆弱性研究者・エクスプロイト開発者 17 アプリケーションペンテスター 18 ICS/OTセキュリティ・アセスメント・コンサルタント 19 DEVSECOPS エンジニア★ 20 メディアエクスプロイテーションアナリスト 今最も注目されているサイバーセキュリティの仕事 (SANS Institute, April 28, 2022, 掲載許諾済み ) https://www.sans.org/posters/20-coolest-careers-cybersecurity-japanese/ ★ プロダクト開発現場に近いと思われるセキュリティの仕事 11

• https://www.sans.org/posters/20-coolest-careers-cybersecurity-japanese/

「組織」を知る 高 ● セキュリティ人材充足度アセスメント(日経独自) ● 強化すべき仕事の領域を探すWorkshop ● 20のキャリアを自組織に当てはめて検討 ● 左上のエリアの人材を重点的に強化 役 割 の 必 要 性 低 不足 人材の充足状況 充足 12

「協調」を知る 開発チーム 発信 ● オープンなコミュニケーション セキュリティチー ム発信 ● 相談しやすい雰囲気作り ● 分散モデル(ref. PSIRT Service Framework) 開発チーム プロダクトA セキュリティ：高 個別支援 定期交流 開発チーム プロダクトB セキュリティ：中 セキュリティベ ンダ 随時相談 セキュリティ チーム ニュース配信 (オープンチャネル ) 開発チーム プロダクトC 一般ウェブサイト ナレッジ共有 (Notion) 審査・監査 共通言語化 ガイドライン改定 監査部門 13

⽇経におけるプロダクトセキュリティへの挑戦 セキュリティチーム、DevSecOps概観を紹介 14

日経のプロダクト BtoC BtoB その他サービス ・ 日経電子版 ・ 法人向け日経電子版 ・ THE NIKKEI MAGAZINE ・ 日経ID（ID基盤、課金決済） (PRO, FOR OFFICE) ・ NIKKEIリスキリング ・ 日経転職版 ・ 日経テレコン ・ 日経OFFICE PASS ・ NIKKEI Prime ・ 日経NEEDS ・ 各種イベント ・ Nikkei Asia ・ 日経バリューサーチ ・ 日経リスク＆コンプライアンス 内部向け ・ 日経スマートクリップ ・ 日経COMPASS ・ データ基盤(Atlas) ・ 契約管理（IMS） 15

日経のセキュリティチーム ● 発足：2021年1月 ● ミッション： ○ 日経のデジタルプロダクトのセキュリティリスクをコントロールして 事業成長に貢献する ● 目標： ○ DevSecOpsによりデジタル事業のサービスで保有する情報を適切に守ること、開 発者の体験・開発速度を損なわないことを同時に目指す 16

日経のDevSecOps概観 Sec Dev/Ops Dev Plan セキュリティレビュー 脅威モデリング Code SAST コードレビュー （静的アプリケーションセキュリティテスト） Build CI / CD パイプライン Test DAST （動的アプリケーションセキュリティテスト） 脆弱性診断 Deploy Ops Operate クラウドセキュリティテンプレート Monitor セキュリティ監視(SOC) バグバウンティプログラム* インシデントレスポンス * バグバウンティプログラムは IssueHunt株式会社のサービスを紹介しています。 17

セキュリティレビュー・脅威モデリング 開発チームとセキュリティチームが協力し、早期にリスクを発見するための活動 上図は架空のウェブサービスを対象としたものです。 18

Webセキュリティ セキュリティ報告窓口（security.txt）の公開 （2022年4月に公開された技術仕様(RFC9116)への対応） 日経のサービス ①脆弱性発見 ②報告先確認 日経 日経 デジタル関連部署 日経 デジタル関連部署 デジタル関連部署 ③報告 有志の ホワイトハッカー セキュリティ報告窓口 （セキュリティチーム） 国内外から報告実績あり ④共有 経営企画室 （SIRT） ④共有 その他部署 海外拠点 等 (* nikkei.com配下) 19

GCP セキュリティ監視基盤構築 操作 プロジェクト A ログ プロジェクト B セキュリティ 監視基盤 (Security Command Center) 連携 セキュリ ティ監視 （SIEM） 監視 SOC(グループ会社 ) プロジェクト C 日本経済新聞 社 開発担当者 セキュリティチーム … 通知 通知 ・監視基盤の適用 ・通知ルール整備 ・アラート対応相談 ・点検 (Slack, レポート) 20

セキュリティスキルをどのように身につけるか １．独学 ・ 書籍、資料、勉強会、X(旧Twitter)、Slack ・ 規格、フレームワーク、ベンチマークを読む ・ CTF(Capture The Flag)への取り組み ２．専門教育 ・ セキュアコーディング研修「KENRO」 ・ セキュリティ・キャンプの聴講 ・ 有償講習（CompTIA、(ISC)²、クラウドセキュリティ等） ３．資格取得 ・ 情報処理安全確保支援士 ・ CompTIA、CISSP等 ・ クラウド関連資格(AWS/GCP) IPA（情報処理推進機構）：安全なウェブサイトの作り方 https://www.ipa.go.jp/security/vuln/websecurity.html 21

• https://www.ipa.go.jp/security/vuln/websecurity.html

社是 社是は、戦後、⽇本経済新聞への改題とともに当時の社⻑⼩汀利得が定めました。中⽴で 公正、事実に基づく合理的な視点を忘れず報道し、国⺠⽣活と経済の発展に貢献するとい うこの⾔葉は、戦後の⽇経の原点であり、今に続く指針になっています。 理念 ⽇本経済新聞社グループが定めるバリュー‧パーパス‧ミッションです。 バリューは、すべての社員が共有する価値観、 パーパスはいつまでも変わらないグループの存在意義、 ミッションはグループ各社それぞれがパーパスに沿って果たすべき使命を表します。 Value 独⽴ / クオリティー / 先進性 / 多様性 Independence / Quality / Innovation / Diversity 中正公平、 わが国⺠⽣活の基礎たる経済の 平和的⺠主的発展を期す Purpose 考え、伝える。より⾃由で豊かな世界のために。 Better insights for a better world Mission 質の⾼い報道とサービスで 読者‧顧客の判断を助け 世界で最も公正で信頼されるメディアになる To be the most trusted, independent provider of quality journalism to a global community, helping our customers make better decisions. 22

まとめ ● プロダクトセキュリティの民主化と協調 ○ セキュリティの切り口で共通言語化し、セキュリティを民主化する ○ 同僚やパートナーとの協調で、自組織に不足するセキュリティを補う ● 日経の取り組みの紹介 ○ セキュリティチーム活動、DevSecOps概観の紹介 ○ セキュリティパートナーとの連携の紹介 23

終わりに 自社のプロダクトセキュリティ活動を通じて得た知見をコミュニティに還元し、 皆さまのセキュリティ向上に役立てられれば幸いです。 プロダクトセキュリティを高めてくれる仲間を募集中 https://hack.nikkei.com/jobs/product_security/ カジュアル面談はアンケート（QRコード）からも希望できます。 24

• https://hack.nikkei.com/jobs/product_security/