Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20220810_seccam
Search
okazaki hajime
August 12, 2022
Business
0
120
20220810_seccam
会社説明
okazaki hajime
August 12, 2022
Tweet
Share
More Decks by okazaki hajime
See All by okazaki hajime
20171222_owasp_okinawa
okazakihajime
0
850
20171114inCyberAgent
okazakihajime
3
2.2k
20170218inOkinawa
okazakihajime
0
210
Other Decks in Business
See All in Business
Terra Charge|会社紹介 / Terra Charge Company Profile
contents
0
11k
250830 RubyKaigi 2025 follow up 株式会社iCAREスポンサーLT「健康診断 follow up」
msykd
PRO
1
210
Strh株式会社 採用資料
strh
0
210
ブランド・プランナー協会講座概要
brandingtechnology
0
1.1k
HRBrain 中途採用資料
hrbrain
1
1.8k
20250816 「アジャイル」って?~"Do Agile"から"Be Agile"へ~
east_takumi
0
3k
株式会社スムーズ会社紹介資料/Smooth COMPANY DECK
smoothinc
PRO
1
1.4k
Spice Factory Inc. Culture Deck
spicefactory
0
10k
「使いこなせないかも…」を超えて、BackLogを日常にするまでの話(JBUG Live版)
sho_okawara
0
150
透明性レポート(2025年上半期)
mercari_inc
0
1.1k
enechain company deck
enechain
PRO
9
130k
成功に役立つ行動経済学のインサイト
masayamoriofficial
2
460
Featured
See All Featured
Designing for Performance
lara
610
69k
Building an army of robots
kneath
306
46k
Mobile First: as difficult as doing things right
swwweet
224
9.9k
GraphQLの誤解/rethinking-graphql
sonatard
72
11k
Making the Leap to Tech Lead
cromwellryan
135
9.5k
Rails Girls Zürich Keynote
gr2m
95
14k
4 Signs Your Business is Dying
shpigford
184
22k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3k
The World Runs on Bad Software
bkeepers
PRO
70
11k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
112
20k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
61k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
36
2.5k
Transcript
セキュリティキャンプ2022 2022/8/10 サイバーエージェント システムセキュリティ推進グループ 岡崎創
1.サイバーエージェントで働くまで 2.CAのセキュリティグループについて 3.CAでのセキュリティ施策
簡単に自己紹介 •氏名:岡崎 創(おかざき はじめ) •所属:サイバーエージェント > グループIT推進本部 > システムセキュリティ推進グループ > オンサイトチーム •職種:セキュリティエンジニア
•職歴:情報系大学卒業 LAMP環境のフロントエンジニア、その後、LAMP環境インフラエンジニア 転職、Webアプリケーションの脆弱性診断 転職、サイバーエージェントに入社(2015/6〜) •資格:情報処理安全確保支援士、ネットワークスペシャリスト、AWS Security Specialist
サイバーエージェントで働くま で
現状のステータス •セキュリティ関連業務歴:7〜8年間くらい •保有資格: (IPA系) 基本情報技術者、応用情報技術者、 情報処理安全確保支援士、 ネットワークスペシャリスト試験、 (ベンダ系) AWS Certified
Solutions Architect - Associate、 AWS Certified Security - Specialty G検定 IPA試験区分:https://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html
セキュリティエンジニアまで1 •数学が好きだった。 *数学検定・算数検定(実用数学技能検定)2級を高校生の時に合格 *陸上部でした。中距離担当 • 大学は情報系の大学へ *情報セキュリティ関連授業は少なかった *卒業研究は情報セキュリティ関連「スパイウェア」 *この時点では社会にでて、どんな仕事に役立てられるか、イメージがなかった 数学検定 概要:https://www.su-gaku.net/suken/examination/summary/
セキュリティエンジニアまで2 •社会人 *Webアプリケーション開発(ユーザ企業) ー LAMP環境(L → Linux、A → Apache、M → MySQL、P
→ PHP) ー フロントエンド(JavaScript、HTML)、バックエンド(API) DB APIs API API API DB 当時 現在
セキュリティエンジニアまで3 •社会人 *インフラ構築、運用(ユーザ企業) ー サーバの構築、Zabbixを利用してサーバ監視 ー ハイパーバイザ(XenServer) tech target japan:https://techtarget.itmedia.co.jp/tt/news/1507/17/news07.html
セキュリティエンジニアまで4 •社会人 *脆弱性診断士(診断会社) ー Webアプリケーション診断(ブラックボックス診断) ー 診断結果を依頼会社に報告 プロキシツール Webサーバ HTTPS 診断士PC
セキュリティエンジニアまで5 •社会人 *サイバーエージェント(CA)でセキュリティエンジニア(ユーザ企業)
CAのセキュリティグループに ついて
CAにおける共通組織 •共通組織 ・IR・SR室 ・内部統制・内部監査室 ・人事本部 ・全社広報 ・グループIT推進本部(こちら) ・事業部組織 ・ABEMA ・メディア事業部
・AI事業本部 など サイバーエージェント グループIT推進本部 IR・SR室 ABEMA メディア事業部 AI事業本部 SGE事業部
グループIT推進本部 •グループIT推進本部 ・コーポレートIT局 ・全社データ技術局 ・PR Factory ・AOI(Assets & Office Infrastructure)
・システム総務 ・CIU(CyberAgent group Infrastructure Unit) ・システムセキュリティ推進グループ(こちら) グループIT推進本部 コーポレートIT局 CIU システムセキュリティ推進グ ループ 全社データ技術局
システムセキュリティ推進グループ •システムセキュリティ推進グループ(SSG) ・セキュリティガバナンスチーム ・技術チーム ・オペレーションチーム ・脆弱性診断チーム ・オンサイトチーム(私はこちら) SSG オンサイトチーム 技術チーム
セキュリティガバナンスチー ム 脆弱性診断 オペレーションチーム
ミッション •CA:「21世紀を代表とする会社を創る」 •これを受けて、システムセキュリティ推進グループでは 「セキュリティ維持・向上・事後対応を通じて、 CyberAgentグループの成長阻害要因となる ITセキュリティリスクを排除する。」
事業部との関係 •事業部とプロダクト ・事業部:役員、責任者 ・プロダクト:ビジネス責任者、開発責任者、チームリーダ AI事業本部 ・プロダクトC ・プロダクトD メディア事業部 ・プロダクトA ・プロダクトB
SGE事業部 ・プロダクトE ・プロダクトF SSG/オンサイトチーム メディア事業部 担当ユニット AI事業本部 担当ユニット SGE事業部 担当ユニット セキュリティ担当 セキュリティ担当 セキュリティ担当
プロダクトとの関係 •事業部/プロダクトによりFitするセキュリティ対策を提案する 事業部A SSG 事業部B 事業部C SSG SSG 事業部側の体制・特色など セキュリティ対策
過去の経験を生かして •プロダクト(開発側)と一緒にセキュリティ課題を解決 ー 修正コストはどのくらいか ー 恒久的な解決策か API API API DB フロントの処理に 問題がある?
バックエンドの処理に 問題がある? DBの保存時に問題 がある? 例:XSSの場合
CAでのセキュリティ施策
プロダクトセキュリティ強化 •プロダクトセキュリティ強化 ・インシデントハンドリング ・プロダクト管理:システムリストの整備 ・リスクアセスメント:システム毎のリスク整理 プロダクトセキュリティ強化 プロダクト管理 リスク アセスメント インシデント
ハンドリング
事業部ごと •ABEMA/メディア事業部 ・FIFAワールドカップ2022に向けてリスクアセスメント ・スタジオ運営、WinTicketなど •AI事業本部 ・ISMS取得部門のサポート ・大学との共同研究によるデータ共有方法 •SGE事業部 ・SGE独自のリリース判定フロー ・IP(知的財産権)関連
•その他
サービス一覧 •SSGの基本サービス ・PERMAN(権限管理など) ・脆弱性診断 ・パスワードマネージャ ・RISKEN(モニタリング) ・PCエンドポイント強化 ・セキュリティチェックシート ・セキュリティ情報発信 など
続けて、 お話ししたいところですが、 続きは、入社後に
ご清聴 ありがとうございました