Recommended
PPTX
DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み
PDF
PPTX
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
PPTX
DeNAが取り組む Software Engineer in Test
PPTX
DeNA private cloudのその後 #denatechcon
PDF
DeNAの動画配信サービスを支えるインフラの内部 #denatechcon
PPTX
DeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
PDF
PDF
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
PPTX
その後のDeNAのネイティブアプリ開発 #denatechcon
PDF
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
PDF
サービスの成長を支えるフロントエンド開発 #denatechcon
PPTX
DeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
PDF
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
PDF
PPTX
FINAL FANTASY Record Keeperのマスターデータを支える技術
PDF
PPTX
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
PPTX
PDF
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
PPTX
Anyca におけるUIフレームワークとスマホによるドア操作の仕組み
PPTX
DeNAのプログラミング教育の取り組み #denatechcon
PDF
PDF
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
PDF
DeNAのゲーム開発を支える技術 (クライアントサイド編)
PPTX
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
PDF
ログ分析で支えるゲームパラメータ設計 #denatechcon
PDF
PPTX
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
PPT
More Related Content
PPTX
DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み
PDF
PPTX
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
PPTX
DeNAが取り組む Software Engineer in Test
PPTX
DeNA private cloudのその後 #denatechcon
PDF
DeNAの動画配信サービスを支えるインフラの内部 #denatechcon
PPTX
DeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
PDF
What's hot
PDF
Mobage/AndAppのSDK開発事例とSDKを作る際に知っておくべきこと #denatechcon
PPTX
その後のDeNAのネイティブアプリ開発 #denatechcon
PDF
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
PDF
サービスの成長を支えるフロントエンド開発 #denatechcon
PPTX
DeNA内製ゲームエンジンの現状と目指す未来 #denatechcon
PDF
爆速でAndroidアプリを ビルドするための仕組み DeNA TechCon #denatechcon
PDF
PPTX
FINAL FANTASY Record Keeperのマスターデータを支える技術
PDF
PPTX
アバター着せ替えアプリ開発におけるフロントエンド技術(Vue.js活用事例) #denatechcon
PPTX
PDF
Anyca(エニカ)のC2Cビジネスを支えるシステムと運用 #denatechcon
PPTX
Anyca におけるUIフレームワークとスマホによるドア操作の仕組み
PPTX
DeNAのプログラミング教育の取り組み #denatechcon
PDF
PDF
iOSレガシーコード改善ガイド〜マンガボックス開発における事例〜
PDF
DeNAのゲーム開発を支える技術 (クライアントサイド編)
PPTX
強化学習を利用した自律型GameAIの取り組み ~高速自動プレイによるステージ設計支援~ #denatechcon
PDF
ログ分析で支えるゲームパラメータ設計 #denatechcon
PDF
Viewers also liked
PPTX
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
PPT
PDF
PPTX
PDF
PDF
PDF
PDF
20131209_buildinsidermeetup
PDF
PPT
PDF
PDF
CEDEC 2013 - 徹底的にチューンしたハイブリッドアプリ「D.O.T. Defender of Texel」の制作
PDF
2014.11.12 ibm bluemix pdf
PDF
New Objective-C Features for Swift 2.0
PDF
Cocos2d-xの深層〜Cocos2d-x組み込みによるピュアAndroid/iOSアプリの外科手術的統合
PPTX
【登壇資料】人類総インターネット時代に20代を無駄にしないために
PDF
PDF
PPTX
PDF
Visual C++ 2015の紹介(C++11/14的に)
Similar to セキュリティ業務の内製とチームメンバー育成
PPTX
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
PDF
ゲーム開発を加速させる クライアントセキュリティ
PDF
ラック社が考える、これからの「セキュリティ・エンジニア」とは
PPTX
ゲーム開発現場の中心で心理的安全性を叫ぶ [RSGT2018]
PDF
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
PPTX
North Torch株式会社_社内の取組とチームで大切にしてきたこと
PDF
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
PDF
PDF
KDDI Business ID におけるアジャイル開発と検証フロー
PPTX
4 Enemies of DevSecOps 2016
PDF
PDF
PDF
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
PDF
PDF
PPTX
PPT
PDF
PDF
JaSST '22 Tokyo - B5「テストの素人がゲーム品管組織を作って5年で感じた、QA業界のモヤモヤ」
PDF
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
Recently uploaded
PDF
Nanami Doikawa_寄り道の誘発を目的とした旅行写真からのスポット印象語彙の推定に関する基礎検討_EC2025
PDF
サーバーサイド Kotlin を社内で普及させてみた - Server-Side Kotlin Night 2025
PDF
0.0001秒の攻防!?快適な運転を支えるリアルタイム制御と組み込みエンジニアの実践知【DENSO Tech Night 第四夜】
PPTX
「グローバルワン全員経営」の実践を通じて進化し続けるファーストリテイリングのアーキテクチャ
PDF
老舗SaaS運用の舞台裏~AWS EoL対応地獄から「主導権」を奪還するまでの道のりと教訓~
PDF
Kubernetes Release Team Release Signal Role について ~Kubernetes Meetup Tokyo #72~
PDF
SportsBull流動画配信 継続的改善で築く運⽤術 × Cloudflare R2利⽤による⼤幅コスト削減
PDF
Rin Ukai_即興旅行の誘発を目的とした口コミ情報に基づく雰囲気キーワード_EC2025.pdf
セキュリティ業務の内製とチームメンバー育成 1. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ業務の内製
とチームメンバー育成
- 0 から作るセキュリティチー
ム-
Jun 11, 2014
Toshiharu Sugiyama
Security Dept. Security Engineering Group
DeNA Co., Ltd.
2. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
自己紹介
会社
⁃ 株式会社ディー・エヌ・エー
• システム本部 セキュリティ部 セキュリティ技術グループ
名前
⁃ 杉山 俊春 ( はるぷ , @harupuxa)
属性
⁃ セキュリティ
⁃ プログラマー
⁃ イラストレーター
⁃ ラテアート
⁃ 猫
2
3. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA セキュリティ部 ( 技術グループ ) と私
3
20122012
20132013
20142014
2013/4
セキュリティ
グループ発足
2013/4
セキュリティ
グループ発足
2014/4
セキュリティ部
2014/4
セキュリティ部
Join!Join!
ここの中
セキュリティ部の位置づけ 技術グループと私
セキュリティ技術グループと
セキュリティ推進グループがあります
4. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA セキュリティ部 ( 技術グループ ) のお仕事
リリースするアプリ・サービスの脆弱性診断
⁃ ゲーム全般 ( ブラウザゲーム、 iOS アプリ、 Android
アプリ )
• 日本 / 海外、自社開発 / 委託開発共に実施
⁃ ゲームプラットフォーム (Mobage)
⁃ エンタメ ( マンガボックス、 Showroom 、アプリゼ
ミ等 )
⁃ EC(DeNA ショッピング、モバオク、 DeNA トラベ
ル等 )
⁃ エブリスタ などなど
4
5. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA セキュリティ部 ( 技術グループ ) のお仕事
セキュリティ相談・設計
⁃ 個人情報を扱う機能の設計
⁃ 暗号化基準、方式
社内ネットワークのセキュリティ
⁃ 社内の不審な通信の解析 ( 標的型攻撃への対応 )
⁃ 社内クライアント、サーバ等の脆弱性診断
各種セキュリティの仕組み、ツールの作成
など色々やってます
5
6. 7. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
何故内製でセキュリティをやっているのか
スピード・スケジュールの柔軟性
⁃ 気になったタイミングで確認したい
⁃ スケジュールが直前まで FIX できない
⁃ 機能ごとにフェーズわけして実施したい
など
7
8. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
何故内製でセキュリティをやっているのか
コスト ( 委託費用 ) ・網羅性
⁃ セキュリティコストが開発費を超えてしま
う!
⁃ 期間、コストを考えると一部の機能しか対
象にできない
8
9. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
何故内製でセキュリティをやっているのか
業務知識
⁃ ゲームにおいてできてはいけないこと
は何か
⁃ アイテム増殖、能力不正強化など、一
般的な脆弱性診断では対象にならない
部分も致命的な問題に
9
10. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
何故内製でセキュリティをやっているのか
Java, Objective-C 以外のスマホアプリの
対応が必要
⁃ ngCore
⁃ Unity
⁃ Cocos2d
⁃ Adobe Air
⁃ Unreal Engine
⁃ 独自フレームワーク など
10
11. 12. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材確保の課題
潜在的なセキュリティ人材不足 8 万人 ( 質的不足 16 万人 ) !超多い!
12
⼈⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈ ⼈出典:情報セキュリティ 材育成に係る現状と今後の検討課題について (NISC: 2013 年 11 ⼈ 6 ⼈ )
http://www.nisc.go.jp/conference/seisaku/jinzai/dai7/pdf/shiryou04.pdf
13. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材の課題
「セキュリティ人材」って何?
13
今流行の「フルスタックエンジニア」
( +セキュリティ知識 ) みたいになってませんか?
……そんな人は見たことありません
セキュリティに
「興味を持つ」、「理解できる」
が重要!
14. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材育成~心がけていること~
楽しくハッキングする
セキュリティの最前線に
暗記ではなく理論を考える
14
15. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材育成~心がけていること
~
楽しくハッキングする
⁃ つまらない作業にしない
• ツール回して終わり は極力しない。ツール回す場合でも
新しい発見を大事に。
• 豪華なドキュメント ( 報告資料 ) は作らない ← 脆弱性診
断業務で一番しんどい部分!
⁃ 開発者に感謝されるようにする
• 納得感のある報告 ( 原理、影響の解説 )
⁃ 「これ凄くね?」を大事に
⁃ 仕事の幅を広く
• 「セキュリティ」は広すぎるので、人によって興味を持
つ場所・イメージするものがかなり違う
15
16. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材育成~教育環境~
脆弱なサンプルアプリ
16
かなり増えている!
select * from user_info where
login_id='test' and password='' or 1=1-- '
ID/PASS の両方が正しい 全てまたは
EC サイト風 ゲーム風
17. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
講義用資料 詳細解説資料
英語のレベルはアレですが
英語版も!
社内開発者や協業先
にも展開してます!
社内開発者や協業先
にも展開してます!
とにかく役立ちそうなものはドキュメント化
セキュリティ人材育成~教育環境~
18. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材育成~心がけていること~
セキュリティの最前線に
⁃ 社内で情報を出し惜しみしない
• 未公開の脆弱性とかも共有する
⁃ 社外への情報発信・セキュリティ貢献もする
• IPA への届け出
⁃ 2012/01-2014/06: 24 件
• 脆弱性解説記事公開
⁃ 2014/04/15: Heartbleed
18
Mobage developers blog
http://developers.mobage.jp/blog/2014/4/15/heartbleed
19. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティ人材育成~心がけていること~
暗記ではなく理論を考える
⁃ セキュリティ技術を暗記モノにしない
• 理屈からちゃんと理解して説明する
⁃ 調べてもよくわからないものも、自分たちでなんと
かしてみる
19
20. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
まとめ
業務をより円滑に回すためには、セキュリテ
ィ機能が社内にあると便利!
セキュリティ人材育成には、育てられる環境
が必要
20
![ゲーム開発現場の中心で心理的安全性を叫ぶ [RSGT2018]](https://cdn.slidesharecdn.com/ss_thumbnails/rsgt2018mastershare-180112085649-thumbnail.jpg?width=640&height=640&fit=bounds)
![[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]](https://cdn.slidesharecdn.com/ss_thumbnails/g-tech2015-151106073541-lva1-app6891-thumbnail.jpg?width=640&height=640&fit=bounds)
