Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

セキュリティ・キャンプ全国大会2023企業紹介イベント 日本経済新聞社/#seccamp 2023

セキュリティ・キャンプ全国大会2023企業紹介イベント 日本経済新聞社/#seccamp 2023

セキュリティ・キャンプ全国大会2023 企業紹介イベント(2023/08/08)で発表した、日本経済新聞社のプロダクトセキュリティに関する取り組みの資料です。
#seccamp
https://www.ipa.go.jp/jinzai/security-camp/2023/zenkoku/index.html

More Decks by 日本経済新聞社 エンジニア採用事務局

Other Decks in Technology

Transcript

  1.  ㈱⽇本経済新聞社  CDIO室 セキュリティエンジニア   藤⽥ 尚宏(CISSP、GCIH) • 2022年4⽉⼊社(中途) • 元 警視庁特別捜査官(サイバー犯罪捜査官)

    • 元 オープン系エンジニア(SES, SIer, ベンダー) • 主なお仕事 • プロダクトセキュリティチームのリーダー • プロダクトセキュリティ/DevSecOpsの企画‧推進 • 趣味 • #hobby-we-love-beer, #hobby-gyozabu, #hobby-coffee • #hobby-flower, #hobby-splatoon 発表者のプロフィール 3
  2. 会社概要 4 会社名 株式会社 ⽇本経済新聞社 代表者 代表取締役社⻑ ⻑⾕部 剛 資本⾦ 25億円

    社員数 3,043⼈(2022年12⽉末) 事業内容 新聞を中核とする事業持株会社。雑誌、 書籍、電⼦メディア、データベースサー ビス、速報、電波、映像、経済‧⽂化事 業などを展開 創刊 1876年(明治9年) 12⽉2⽇
  3. 5 Value 独⽴ / クオリティー / 先進性 / 多様性 Independence

    / Quality / Innovation / Diversity Purpose 考え、伝える。より⾃由で豊かな世界のために。 Better insights for a better world Mission 質の⾼い報道とサービスで 読者‧顧客の判断を助け 世界で最も公正で信頼されるメディアになる To be the most trusted, independent provider of quality journalism to a global community, helping our customers make better decisions. 理念
  4. ⽇経グループ 6 フィナンシャル‧タイムズ‧グループ 出版系 ⽇経BP ⽇経サイエンス ⽇経ナショナルジオグラフィック デジタル系 ⽇経メディアマーケティング QUICK

    放送系 テレビ東京ホールディングス ⽇経CNBC ラジオNIKKEI ⽇経映像 販売系 ⽇経メディアプロモーション ⽇経ピーアール 広告系 ⽇本経済社 ⽇経イベント‧プロ ⼈材教育系 ⽇経HR ⽇経FTラーニング 海外系 ⽇経グループアジア本社 ⽇経アメリカ社 ⽇経ヨーロッパ社 ⽇経中国(⾹港)社 ⽇経創意(北京)社 など
  5. 8 ⽇経電⼦版  有料会員数は約83万⼈*1 • 経済分野のニュースを中⼼に、ウェブサイト、スマ ホアプリで配信 • 新聞に載っていない記事や、Myニュース、AI推薦 などのパーソナライズ機能を提供 •

    新聞のレイアウトで読める紙⾯ビューアーを提供 • 読者の60.2%が勤務先での役職者。 • 平均世帯年収は906万円*2 *1. 2022年7月26日時点 https://www.nikkei.com/article/DGKKZO62674820V10C22A7CT0000/ *2. 2022年1月1日時点 https://marketing.nikkei.com/media/web/audience/
  6. ・ 日経電子版 ・ 日経ID(ID基盤、課金決済) ・ 日経転職版 ・ NIKKEI Prime ・

    Nikkei Asia 日経のプロダクト ・ 法人向け日経電子版 (PRO, FOR OFFICE) ・ 日経テレコン ・ 日経NEEDS ・ 日経バリューサーチ ・ 日経リスク&コンプライアンス ・ 日経スマートクリップ ・ 日経COMPASS BtoC 9 BtoB ・ 日経マガジン ・ 各種イベント ・ 日経リスキリング ・ 日経オフィスパス 内部向け ・ データ基盤(Atlas) ・ 契約管理(IMS) その他サービス
  7. プロダクトセキュリティチーム • 発足:2021年1月 • ミッション: ◦ 日経のデジタルプロダクトのセキュリティリスクをコントロールして 事業成長に貢献する • 目標:

    ◦ DevSecOpsによりデジタル事業のサービスで保有する情報を適切に守ること、開 発者の体験・開発速度を損なわないことを同時に目指す 18
  8. DevSecOps概観 20 Plan セキュリティレビュー Code SAST (静的アプリケーションセキュリティテスト) コードレビュー Build CI

    / CD パイプライン Test DAST (動的アプリケーションセキュリティテスト) Deploy 脆弱性診断 Operate クラウドセキュリティテンプレート バグバウンティプログラム Monitor セキュリティ監視(SOC) インシデントレスポンス Dev Ops Dev/Ops Sec 脅威モデリング
  9. Webセキュリティ 22 セキュリティ報告窓口(security.txt)の公開 (2022年4月に公開された技術仕様(RFC9116)への対応) 有志の ホワイトハッカー ①脆弱性発見 ②報告先確認 ③報告 国内外から報告実績あり

    セキュリティ報告窓口 (セキュリティチーム) ④共有 日経 デジタル関連部署 日経 デジタル関連部署 デジタル関連部署 その他部署 海外拠点 など セキュリティ インシデント対応 チーム ④共有 日経のサービス
  10. パブリッククラウド セキュリティ監視基盤の構築 23 SOC 組織 セキュリティ 監視基盤 通知 本番環境 A

    通知 開発担当者 … セキュリティチーム 本番環境 B 本番環境 C 監視 ・監視基盤の適用  ・通知ルール整備 ・アラート対応相談 ・点検 (Slack, レポート) ログ 操作 連携
  11. 1.独学  ・ 書籍、資料、勉強会、Twitter、Slack  ・ 規格、フレームワーク、ベンチマークを読む  ・ CTF(Capture The Flag)への取り組み 参考:https://hack.nikkei.com/blog/ctf4b202206/ 2.専門教育  ・ セキュアコーディング研修「KENRO」  ・ セキュリティ・キャンプの聴講

     ・ 有償講習(CompTIA、(ISC)²、クラウドセキュリティ等)   3.資格取得  ・ 情報処理安全確保支援士  ・ CompTIA、CISSP等  ・ クラウド関連資格(AWS/GCP) セキュリティスキルをどのように身につけるか 26 IPA(情報処理推進機構):安全なウェブサイトの作り方 https://www.ipa.go.jp/security/vuln/websecurity.html