セキュリティ・キャンプ全国大会2023企業紹介イベント 日本経済新聞社/#seccamp 2023

Transcript

1. 【企業紹介イベント】⽇本経済新聞社 セキュリティ‧キャンプ全国⼤会2023 2023年8⽉8⽇

2. 本⽇のアジェンダ • ⾃⼰紹介 • ⽇本経済新聞社について • ⽇経のエンジニア • プロダクトセキュリティの取組み •

   インターン募集中 2

3.  ㈱⽇本経済新聞社  CDIO室 セキュリティエンジニア   藤⽥ 尚宏（CISSP、GCIH） • 2022年4⽉⼊社（中途） • 元 警視庁特別捜査官(サイバー犯罪捜査官）

   • 元 オープン系エンジニア(SES, SIer, ベンダー) • 主なお仕事 • プロダクトセキュリティチームのリーダー • プロダクトセキュリティ/DevSecOpsの企画‧推進 • 趣味 • #hobby-we-love-beer, #hobby-gyozabu, #hobby-coffee • #hobby-flower, #hobby-splatoon 発表者のプロフィール 3

4. 会社概要 4 会社名 株式会社 ⽇本経済新聞社 代表者 代表取締役社⻑ ⻑⾕部 剛 資本⾦ 25億円

   社員数 3,043⼈（2022年12⽉末） 事業内容 新聞を中核とする事業持株会社。雑誌、 書籍、電⼦メディア、データベースサー ビス、速報、電波、映像、経済‧⽂化事 業などを展開 創刊 1876年(明治9年) 12⽉2⽇

5. 5 Value 独⽴ / クオリティー / 先進性 / 多様性 Independence

   / Quality / Innovation / Diversity Purpose 考え、伝える。より⾃由で豊かな世界のために。 Better insights for a better world Mission 質の⾼い報道とサービスで 読者‧顧客の判断を助け 世界で最も公正で信頼されるメディアになる To be the most trusted, independent provider of quality journalism to a global community, helping our customers make better decisions. 理念

6. ⽇経グループ 6 フィナンシャル‧タイムズ‧グループ 出版系 ⽇経ＢＰ ⽇経サイエンス ⽇経ナショナルジオグラフィック デジタル系 ⽇経メディアマーケティング ＱＵＩＣＫ

   放送系 テレビ東京ホールディングス ⽇経ＣＮＢＣ ラジオNIKKEI ⽇経映像 販売系 ⽇経メディアプロモーション ⽇経ピーアール 広告系 ⽇本経済社 ⽇経イベント‧プロ ⼈材教育系 ⽇経ＨＲ ⽇経ＦＴラーニング 海外系 ⽇経グループアジア本社 ⽇経アメリカ社 ⽇経ヨーロッパ社 ⽇経中国（⾹港）社 ⽇経創意（北京）社 など

7. 沿⾰ 7

8. 8 ⽇経電⼦版  有料会員数は約83万⼈*1 • 経済分野のニュースを中⼼に、ウェブサイト、スマ ホアプリで配信 • 新聞に載っていない記事や、Myニュース、AI推薦 などのパーソナライズ機能を提供 •

   新聞のレイアウトで読める紙⾯ビューアーを提供 • 読者の60.2%が勤務先での役職者。 • 平均世帯年収は906万円*2 *1. 2022年7月26日時点 https://www.nikkei.com/article/DGKKZO62674820V10C22A7CT0000/ *2. 2022年1月1日時点 https://marketing.nikkei.com/media/web/audience/

9. ・ 日経電子版 ・ 日経ID（ID基盤、課金決済） ・ 日経転職版 ・ NIKKEI Prime ・

   Nikkei Asia 日経のプロダクト ・ 法人向け日経電子版 (PRO, FOR OFFICE) ・ 日経テレコン ・ 日経NEEDS ・ 日経バリューサーチ ・ 日経リスク＆コンプライアンス ・ 日経スマートクリップ ・ 日経COMPASS BtoC 9 BtoB ・ 日経マガジン ・ 各種イベント ・ 日経リスキリング ・ 日経オフィスパス 内部向け ・ データ基盤(Atlas) ・ 契約管理（IMS） その他サービス

10. 10 ⽇経のエンジニア

11. エンジニア⼈材 新卒、社会⼈採⽤の割合は１：１ 総勢８０名超 エンジニア、データサイエンティスト、セキュリティエンジニアなど幅広いスキル 11 more…

12. モダンなアーキテクチャ 12

13. 多種多様なアプリ開発 13

14. 14 対外発表を推奨

15. 15 発表スライドの⼀例（⼀部、弊社技術ブログHack The Nikkeiで公開中）

16. 16 開発環境‧活動⽀援

17. 17 ⽇経における セキュリティへの挑戦

18. プロダクトセキュリティチーム • 発足：2021年1月 • ミッション： ◦ 日経のデジタルプロダクトのセキュリティリスクをコントロールして 事業成長に貢献する • 目標：

    ◦ DevSecOpsによりデジタル事業のサービスで保有する情報を適切に守ること、開 発者の体験・開発速度を損なわないことを同時に目指す 18

19. 変化とリスク • 変化にはリスクを伴う • 変化しないことによるリスクも伴う • エンジニアは技術によって変化を起こすことが仕事 セキュリティは、リスクに適切に対処し 安心して変化するための手段である 19

20. DevSecOps概観 20 Plan セキュリティレビュー Code SAST （静的アプリケーションセキュリティテスト） コードレビュー Build CI

    / CD パイプライン Test DAST （動的アプリケーションセキュリティテスト） Deploy 脆弱性診断 Operate クラウドセキュリティテンプレート バグバウンティプログラム Monitor セキュリティ監視(SOC) インシデントレスポンス Dev Ops Dev/Ops Sec 脅威モデリング

21. セキュリティレビュー・脅威モデリング 21 開発チームとセキュリティチームが協力し、早期にリスクを発見するための活動 上図は架空のウェブサービスを対象としたものです。

22. Webセキュリティ 22 セキュリティ報告窓口（security.txt）の公開 （2022年4月に公開された技術仕様(RFC9116)への対応） 有志の ホワイトハッカー ①脆弱性発見 ②報告先確認 ③報告 国内外から報告実績あり

    セキュリティ報告窓口 （セキュリティチーム） ④共有 日経 デジタル関連部署 日経 デジタル関連部署 デジタル関連部署 その他部署 海外拠点 など セキュリティ インシデント対応 チーム ④共有 日経のサービス

23. パブリッククラウド セキュリティ監視基盤の構築 23 SOC 組織 セキュリティ 監視基盤 通知 本番環境 A

    通知 開発担当者 … セキュリティチーム 本番環境 B 本番環境 C 監視 ・監視基盤の適用　　・通知ルール整備 ・アラート対応相談　・点検 (Slack, レポート) ログ 操作 連携

24. セキュリティチームの発信 SECCON Beginners 2023 Writeup　　　　　新卒エンジニア研修2023（セキュリティ） 24

25. 宣伝 (Student Bug Bounty Battle Royal) 学生向けバグバウンティプログラム 期間：2023年８月９日ー３１日 セキュリティ・キャンプが終わったらぜひご参加下さい！ 25

26. １．独学 　・　書籍、資料、勉強会、Twitter、Slack 　・　規格、フレームワーク、ベンチマークを読む 　・　CTF(Capture The Flag)への取り組み 参考：https://hack.nikkei.com/blog/ctf4b202206/ ２．専門教育 　・　セキュアコーディング研修「KENRO」 　・　セキュリティ・キャンプの聴講

    　・　有償講習（CompTIA、(ISC)²、クラウドセキュリティ等） 　 ３．資格取得 　・　情報処理安全確保支援士 　・　CompTIA、CISSP等 　・　クラウド関連資格(AWS/GCP) セキュリティスキルをどのように身につけるか 26 IPA（情報処理推進機構）：安全なウェブサイトの作り方 https://www.ipa.go.jp/security/vuln/websecurity.html

27. 27 Question? インターン募集中です