ユーザーも社員も、誰もが安全にサービスを利用できるように　エンタープライズとプロダクト、２つのセキュリティ組織のミッション

自己紹介と経歴

李志勳氏（以下、李）：みなさん、こんにちは。LINEのセキュリティセンターでエンタープライズセキュリティ室の室長を務めております、李志勳（Lee Jihoon）と申します。よろしくお願いします。

まず自己紹介から始めます。今回は新卒向けの採用イベントなので、私の経歴も少し説明しようかなと思っております。

私は学校を卒業して、2004年から仕事を始めました。SIEMという、セキュリティイベントを収集して分析するプラットフォームがあるのですが、最初はそれを開発するソフトウェアのエンジニアとしてキャリアをスタートしました。

それからエンタープライズ的な環境も含めて、いろいろな会社のセキュリティの課題を解決する仕事に就きました。例えば原子力発電では、リアルタイムOSや、セーフティシステム、ノンセーフティシステムといった特徴があるシステムが利用されているのですが、それに対するセキュリティの課題に取り組んできました。

ほかにも、軍の環境で知られていなかったマルウェア、Unknownマルウェア探知の研究など、特殊な環境下でのセキュリティについて経験してきました。

2016年にLINEに入社してからは、主にインフラセキュリティの領域を担当するセキュリティエンジニアからキャリアをスタートして、マネージャー、副室長、そして現在は室長として複数のチームをディレクションするのがメインで、全体的なところを担当しております。

セキュリティを担当するエンタープライズセキュリティ室

ここまでが私の自己紹介です。続いて、LINEにはどういう仕事があるのかを紹介いたします。

まず、LINEでセキュリティを担当する組織として、CISO管掌のセキュリティセンターがあります。そのセンターの中に4つの室があるのですが、その中でエンジニアリング業務を担当している2つの室が、今日のイベントでお話しする範囲となります。

まず私からは、その中のエンタープライズセキュリティ室に関する説明をいたします。そのあとに、プロダクトセキュリティ室の説明をいたします。

まず、エンタープライズセキュリティ室ですが、LINEの従業員が利用している環境のセキュリティを強化することが仕事のミッションになっております。

持っているR＆R（Role and Responsibility）は、会社の全体的な情報セキュリティの管理体制ですが、それについて作ったり、その基盤でセキュリティの活動を企画したり、運営したり、継続的に改善したりしています。

最近であれば、在宅勤務などの変化があるので、それに対するリスクアセスメントを行なったりもします。今もいろいろと動いているのですが、対策が効果的に適用されているのかどうかも、継続的に確認をしています。

会社的なセキュリティアーキテクチャーに基づいたセキュリティ対策の設計、開発、導入、配布、運営、そして最適化についての役割と責任を担っている組織になっております。

エンタープライズセキュリティ室の業務

今持っている業務の範囲について紹介いたします。LINEのエンタープライズ環境全般なので、サービスで利用しているデータセンターと、その中にあるネットワークやホストの対策をしています。また、オンプレミスという環境下にも、パブリッククラウドな環境が含まれているので、そこも管理の範囲の中にあります。

それからLINEのグループ会社として、グループ全体的なセキュリティ体制を作ってから展開することも仕事です。また、社内で利用されているコラボレーションツールなど、全体的なITについての対策を工夫しています。

ほかにも、拠点がグローバルなので、そのオフィスや、その中で利用されているパソコンなどのエンドポイントの端末についてのセキュリティも含んでいます。

セキュリティ的なフレームワークの観点から見ると、例えば、NISTのSP 800シリーズの171というフレームワークがあるのですが、その中である対策Familyの観点から、スライド左側の濃い緑色の背景の部分について、主に対策、対応しています。右側は、アシストする立場で対応しています。

チームは、4つあります。（スライドの）最も上の社内セキュリティチームが、全体的な情報セキュリティの管理体制を担当しています。そして以下のインフラプロテクションの1、2、3というチームが、エンジニアリング的なところを担当している構成になっています。

業務において必要なスキルや知識

ここからは、必要なスキルや知識について、お話ししようと思います。例えば面接の場でも、このようなタスクやプロジェクトを一緒に行うことができるかどうかを確認する観点から質問をしているので、いくつか例を挙げてみました。

まず共通しているのは、コンピューターのOSやファイルシステム、ネットワーク付近、ソフトウェアの開発、暗号化のようなセキュリティ体制、また管理チームについての知識です。

下のところが最も重要かなと思っています。セキュリティの課題、問題を識別、理解してからそれを解決する方法を自分、あるいはメンバーと一緒に探して、解決できるまで粘り強く対応ができるかどうかですね。

それから開発組織、IT部門、ビジネス部門など、会社の他の組織と一緒に問題を解決する場面が多いので、それができるかも見ていることの1つになっています。

セキュリティは評価する活動が多いのですが、それについてセキュリティ的な弱点、ウィークネスについての関連があるスキームを理解しているか、実際に公開されている脆弱性について、その対象になっている対象ホストを特定するためにスクリプトを作成することが必要なので、そのためのスキルなどですね。

あるいは、OSのように共通的に利用されているソフトウェアについてのHardeningするために必要な知識や、設計段階で評価することも多いので、その基盤の評価をするためのモデリング方法も必要かなと思っています。

また、サービスについてはいろいろな対策があるのですが、オンプレミス環境の場合も、最近はプライベートクラウド環境なので、それについてやプロトコルについての理解が必要かなと思っています。

ホストについては、マルウェアなどの脅威に対する知識、関連システムを設定できるレベルぐらいの深い理解が必要なので、そこも書いておきました。

あとはネットワーク的なセキュリティについても、ネットワークレベルでACLというアクセスコントロールが行なわれているので、その実装方法に関する理解や、無線についてはWIPSのような、技術についての理解が必要です。それからDOSやDDOSのような攻撃についての知識も必要だと思っています。

それから全体的にチャンネル保護などの暗号化を実装する際のセキュリティ的な対策についての理解も必要だと思っています。

エンドポイント的な話ですが、パソコンやスマホなどを利用しているクライアントOS、モバイルOSのセキュリティ機能についての理解とか、パッチのような対策について管理するために必要な知識とか、ほかにも最近であれば在宅勤務のようなリモートアクセスが多いので、それを守るために必要な、ネットワーク的な対策についての理解も必要です。

いろいろと紹介をしましたが、この場ですべてをお話しすることはできないと思うので、すでにいくつか公開されているコンテンツを紹介いたします。

2020年の「LINE DEVELOPER DAY」で発表された内容と、Engineering Blogにいろいろ記事があるので、こちらを紹介いたします。今働いているメンバーのインタビュー記事や、2021年に行った採用イベントの内容も確認できるので、こちらもご参考ください。

私の発表はここまでです。続いてプロダクトセキュリティについて、Youngminさんからよろしくお願いします。ありがとうございました。

セキュリティ観点で評価やコンサルティングを行うプロダクトセキュリティ室

鄭ヨンミン氏（以下、鄭）：初めまして。アプリケーションセキュリティチームのマネージャーの鄭ヨンミンと申します。よろしくお願いします。

自己紹介ですが、私は2013年にセキュリティエンジニアとしてLINEに入社し、サービスのセキュリティテスト業務を担当しました。2021年からアプリケーションセキュリティチームのマネージャーとして、チームのマネジメントと、会社のDevSecOpsを担当しています。

次は、私が働いているアプリケーションセキュリティチームについて、紹介いたします。まずはチームの紹介の前に、アプリケーションセキュリティチームが所属しているプロダクトセキュリティ室について、簡単に説明いたします。

プロダクトセキュリティ室は、情報セキュリティとアプリケーションレビューのセキュリティを担当しています。ユーザーが安全にサービスを使用できるように、セキュリティ観点で評価やコンサルティングを行う組織です。

プロダクトセキュリティ室に所属する5つのチーム

プロダクトセキュリティ室に所属しているチームは、アプリケーションセキュリティチーム以外にも4つあります。プライバシー評価1と2チームは、サービスの個人情報を安全に獲得、利用、保存することを目標としています。

次にセキュリティR&Dチームですが、このチームはセキュリティ関連の機能開発と、セキュリティ技術研究エリアのサービスを安全にリーチすることを担っています。

プライバシーエンジニアリングチームは、個人情報を安全に利用できるように、情報処理のための多様な管理方法を提案し、検証を担当しています。

最後にアプリケーションセキュリティチームですが、このチームは、ユーザーのセキュリティを改善し、サービスのコスト削減の実現を目標としています。

アプリケーションセキュリティチームは、基本的にはLINEがサービスする製品のアプリケーションレベルでセキュリティのチェックを担当しています。基本的な業務もありますが、レスポンシビリティもあります。

業務の効率と結果の品質を維持するために、エンジニアたちは新しい技術を学習し、訓練しなければなりません。会社ではエンジニアたちのスキルアップのため、カンファレンスなどの参加をサポートしています。

アプリケーションセキュリティチームが担当する3つの業務

次は、業務についてです。アプリケーションセキュリティチームは、3つの業務を担当しています。企画者と開発者が実装しようとしている機能をサービスの企画段階で企画書を見ながら確認して、セキュリティの観点で意見やアドバイスを伝達するというセキュリティコンサルティング業務があります。

リリース前の新しい機能のセキュリティテストを進行するリスクアセスメント業務もあります。リスクアセスメント業務では、ソースコードと新しく実装された機能を直接利用しながら、セキュリティ観点で問題がないかを確認します。

ペネトレーションテストもあります。これも基本的にはリスクアセスメント業務と似ていますが、テスト環境ではなく、リアル環境をターゲットにして、セキュリティイシューがないかを確認する業務です。

現在進行中の効率・改善プロジェクト

次が最後になりますが、アプリケーションセキュリティチームが進行中のプロジェクトを紹介します。業務環境の効率性、改善という2つのテーマでプロジェクトが進められています。

業務環境の改善は、セキュリティエンジニアたちがセキュリティテスト業務に集中できる環境を作るためのプロジェクトです。これは例えば、セキュリティテストが終わったあとでのデポット送信とか、コミュニケーションの自動化です。

業務の効率・改善は、独自でツールの開発や、ポージングなどを提供することで、業務の効率を高めるプロジェクトです。

このような業務に興味をお持ちの方は、アプリケーションセキュリティチームにご連絡をお願いします。私からは以上です。