2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
セキュリティエンジニア会 (全1記事)
提供:LINE株式会社
リンクをコピー
記事をブックマーク
李志勳氏(以下、李):みなさん、こんにちは。LINEのセキュリティセンターでエンタープライズセキュリティ室の室長を務めております、李志勳(Lee Jihoon)と申します。よろしくお願いします。
まず自己紹介から始めます。今回は新卒向けの採用イベントなので、私の経歴も少し説明しようかなと思っております。
私は学校を卒業して、2004年から仕事を始めました。SIEMという、セキュリティイベントを収集して分析するプラットフォームがあるのですが、最初はそれを開発するソフトウェアのエンジニアとしてキャリアをスタートしました。
それからエンタープライズ的な環境も含めて、いろいろな会社のセキュリティの課題を解決する仕事に就きました。例えば原子力発電では、リアルタイムOSや、セーフティシステム、ノンセーフティシステムといった特徴があるシステムが利用されているのですが、それに対するセキュリティの課題に取り組んできました。
ほかにも、軍の環境で知られていなかったマルウェア、Unknownマルウェア探知の研究など、特殊な環境下でのセキュリティについて経験してきました。
2016年にLINEに入社してからは、主にインフラセキュリティの領域を担当するセキュリティエンジニアからキャリアをスタートして、マネージャー、副室長、そして現在は室長として複数のチームをディレクションするのがメインで、全体的なところを担当しております。
ここまでが私の自己紹介です。続いて、LINEにはどういう仕事があるのかを紹介いたします。
まず、LINEでセキュリティを担当する組織として、CISO管掌のセキュリティセンターがあります。そのセンターの中に4つの室があるのですが、その中でエンジニアリング業務を担当している2つの室が、今日のイベントでお話しする範囲となります。
まず私からは、その中のエンタープライズセキュリティ室に関する説明をいたします。そのあとに、プロダクトセキュリティ室の説明をいたします。
まず、エンタープライズセキュリティ室ですが、LINEの従業員が利用している環境のセキュリティを強化することが仕事のミッションになっております。
持っているR&R(Role and Responsibility)は、会社の全体的な情報セキュリティの管理体制ですが、それについて作ったり、その基盤でセキュリティの活動を企画したり、運営したり、継続的に改善したりしています。
最近であれば、在宅勤務などの変化があるので、それに対するリスクアセスメントを行なったりもします。今もいろいろと動いているのですが、対策が効果的に適用されているのかどうかも、継続的に確認をしています。
会社的なセキュリティアーキテクチャーに基づいたセキュリティ対策の設計、開発、導入、配布、運営、そして最適化についての役割と責任を担っている組織になっております。
今持っている業務の範囲について紹介いたします。LINEのエンタープライズ環境全般なので、サービスで利用しているデータセンターと、その中にあるネットワークやホストの対策をしています。また、オンプレミスという環境下にも、パブリッククラウドな環境が含まれているので、そこも管理の範囲の中にあります。
それからLINEのグループ会社として、グループ全体的なセキュリティ体制を作ってから展開することも仕事です。また、社内で利用されているコラボレーションツールなど、全体的なITについての対策を工夫しています。
ほかにも、拠点がグローバルなので、そのオフィスや、その中で利用されているパソコンなどのエンドポイントの端末についてのセキュリティも含んでいます。
セキュリティ的なフレームワークの観点から見ると、例えば、NISTのSP 800シリーズの171というフレームワークがあるのですが、その中である対策Familyの観点から、スライド左側の濃い緑色の背景の部分について、主に対策、対応しています。右側は、アシストする立場で対応しています。
チームは、4つあります。(スライドの)最も上の社内セキュリティチームが、全体的な情報セキュリティの管理体制を担当しています。そして以下のインフラプロテクションの1、2、3というチームが、エンジニアリング的なところを担当している構成になっています。
ここからは、必要なスキルや知識について、お話ししようと思います。例えば面接の場でも、このようなタスクやプロジェクトを一緒に行うことができるかどうかを確認する観点から質問をしているので、いくつか例を挙げてみました。
まず共通しているのは、コンピューターのOSやファイルシステム、ネットワーク付近、ソフトウェアの開発、暗号化のようなセキュリティ体制、また管理チームについての知識です。
下のところが最も重要かなと思っています。セキュリティの課題、問題を識別、理解してからそれを解決する方法を自分、あるいはメンバーと一緒に探して、解決できるまで粘り強く対応ができるかどうかですね。
それから開発組織、IT部門、ビジネス部門など、会社の他の組織と一緒に問題を解決する場面が多いので、それができるかも見ていることの1つになっています。
セキュリティは評価する活動が多いのですが、それについてセキュリティ的な弱点、ウィークネスについての関連があるスキームを理解しているか、実際に公開されている脆弱性について、その対象になっている対象ホストを特定するためにスクリプトを作成することが必要なので、そのためのスキルなどですね。
あるいは、OSのように共通的に利用されているソフトウェアについてのHardeningするために必要な知識や、設計段階で評価することも多いので、その基盤の評価をするためのモデリング方法も必要かなと思っています。
また、サービスについてはいろいろな対策があるのですが、オンプレミス環境の場合も、最近はプライベートクラウド環境なので、それについてやプロトコルについての理解が必要かなと思っています。
ホストについては、マルウェアなどの脅威に対する知識、関連システムを設定できるレベルぐらいの深い理解が必要なので、そこも書いておきました。
あとはネットワーク的なセキュリティについても、ネットワークレベルでACLというアクセスコントロールが行なわれているので、その実装方法に関する理解や、無線についてはWIPSのような、技術についての理解が必要です。それからDOSやDDOSのような攻撃についての知識も必要だと思っています。
それから全体的にチャンネル保護などの暗号化を実装する際のセキュリティ的な対策についての理解も必要だと思っています。
エンドポイント的な話ですが、パソコンやスマホなどを利用しているクライアントOS、モバイルOSのセキュリティ機能についての理解とか、パッチのような対策について管理するために必要な知識とか、ほかにも最近であれば在宅勤務のようなリモートアクセスが多いので、それを守るために必要な、ネットワーク的な対策についての理解も必要です。
いろいろと紹介をしましたが、この場ですべてをお話しすることはできないと思うので、すでにいくつか公開されているコンテンツを紹介いたします。
2020年の「LINE DEVELOPER DAY」で発表された内容と、Engineering Blogにいろいろ記事があるので、こちらを紹介いたします。今働いているメンバーのインタビュー記事や、2021年に行った採用イベントの内容も確認できるので、こちらもご参考ください。
私の発表はここまでです。続いてプロダクトセキュリティについて、Youngminさんからよろしくお願いします。ありがとうございました。
鄭ヨンミン氏(以下、鄭):初めまして。アプリケーションセキュリティチームのマネージャーの鄭ヨンミンと申します。よろしくお願いします。
自己紹介ですが、私は2013年にセキュリティエンジニアとしてLINEに入社し、サービスのセキュリティテスト業務を担当しました。2021年からアプリケーションセキュリティチームのマネージャーとして、チームのマネジメントと、会社のDevSecOpsを担当しています。
次は、私が働いているアプリケーションセキュリティチームについて、紹介いたします。まずはチームの紹介の前に、アプリケーションセキュリティチームが所属しているプロダクトセキュリティ室について、簡単に説明いたします。
プロダクトセキュリティ室は、情報セキュリティとアプリケーションレビューのセキュリティを担当しています。ユーザーが安全にサービスを使用できるように、セキュリティ観点で評価やコンサルティングを行う組織です。
プロダクトセキュリティ室に所属しているチームは、アプリケーションセキュリティチーム以外にも4つあります。プライバシー評価1と2チームは、サービスの個人情報を安全に獲得、利用、保存することを目標としています。
次にセキュリティR&Dチームですが、このチームはセキュリティ関連の機能開発と、セキュリティ技術研究エリアのサービスを安全にリーチすることを担っています。
プライバシーエンジニアリングチームは、個人情報を安全に利用できるように、情報処理のための多様な管理方法を提案し、検証を担当しています。
最後にアプリケーションセキュリティチームですが、このチームは、ユーザーのセキュリティを改善し、サービスのコスト削減の実現を目標としています。
アプリケーションセキュリティチームは、基本的にはLINEがサービスする製品のアプリケーションレベルでセキュリティのチェックを担当しています。基本的な業務もありますが、レスポンシビリティもあります。
業務の効率と結果の品質を維持するために、エンジニアたちは新しい技術を学習し、訓練しなければなりません。会社ではエンジニアたちのスキルアップのため、カンファレンスなどの参加をサポートしています。
次は、業務についてです。アプリケーションセキュリティチームは、3つの業務を担当しています。企画者と開発者が実装しようとしている機能をサービスの企画段階で企画書を見ながら確認して、セキュリティの観点で意見やアドバイスを伝達するというセキュリティコンサルティング業務があります。
リリース前の新しい機能のセキュリティテストを進行するリスクアセスメント業務もあります。リスクアセスメント業務では、ソースコードと新しく実装された機能を直接利用しながら、セキュリティ観点で問題がないかを確認します。
ペネトレーションテストもあります。これも基本的にはリスクアセスメント業務と似ていますが、テスト環境ではなく、リアル環境をターゲットにして、セキュリティイシューがないかを確認する業務です。
次が最後になりますが、アプリケーションセキュリティチームが進行中のプロジェクトを紹介します。業務環境の効率性、改善という2つのテーマでプロジェクトが進められています。
業務環境の改善は、セキュリティエンジニアたちがセキュリティテスト業務に集中できる環境を作るためのプロジェクトです。これは例えば、セキュリティテストが終わったあとでのデポット送信とか、コミュニケーションの自動化です。
業務の効率・改善は、独自でツールの開発や、ポージングなどを提供することで、業務の効率を高めるプロジェクトです。
このような業務に興味をお持ちの方は、アプリケーションセキュリティチームにご連絡をお願いします。私からは以上です。
LINE株式会社
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.20
「資格のかけ算」で切り開くキャリア戦略 4パターンの資格の組み合わせで自分の強みを最大化するヒント
2024.12.17
さんまさんと『アメトーーク!』蛍原さんのファシリテーションの違い 心理的安全性を高める「存在感を消す」スタイル
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05