Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber s...
Search
OWASP Kansai
February 05, 2020
Design
0
200
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
「Fenrir Design Techno #3
~組織やコミュニティのデザインに求められる要素とは?~」
にて、OWASP Kansai 森田智彦の発表資料です。
#会社ハック
OWASP Kansai
February 05, 2020
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
18
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
280
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
800
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
320
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
900
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
350
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
160
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
350
OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと
owaspkansai
0
720
Other Decks in Design
See All in Design
Designship2024 Panel Discussion インハウスデザイナーは 何をデザインしているか、するべきか で使用したスライドを公開します。
kiyoshifuwa
0
2.3k
超・ファシリテーション 無理ゲー課題を軽やかに超える MIMIGURI流チームデザイン|TOKYO CREATIVE COLLECTION
madue
1
1.3k
AIネイティブな時代におけるUXデザインの在り方とは
kuni29
0
740
東急URBAN HACKSのデザイナーって何やってるの? 〜Designer Night #1〜 組織横断のデザインの 取り組みについて
sig
1
200
ビジョン実現を加速させるデザインプログラムマネージャーの視座とキャリア/ Designship2024_Sato
root_recruit
0
210
1年目のクリエイターがつくりあげた!採用冊子CANVAS制作の裏側 / creator-canvas
cyberagentdevelopers
PRO
1
380
「ちょっといいUI」を目指す努力 / Striving for Little Big Details
usagimaru
6
3.9k
Осязаемый потребительский опыт. Ловим его за хвост с Картой процесса-опыта
ashapiro
2
240
Managing Design Systems (Antwerp 2024)
nathanacurtis
1
330
Arborea Art Book
thebogheart
1
310
LayerX DesignersDeck
layerx
PRO
0
920
Tableau曲線表現講座(2024.11.21)
cielo1985
0
180
Featured
See All Featured
Statistics for Hackers
jakevdp
796
220k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Reflections from 52 weeks, 52 projects
jeffersonlam
347
20k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
How to Ace a Technical Interview
jacobian
276
23k
KATA
mclloyd
29
14k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Being A Developer After 40
akosma
87
590k
Why Our Code Smells
bkeepers
PRO
335
57k
The Invisible Side of Design
smashingmag
298
50k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
BBQ
matthewcrist
85
9.4k
Transcript
OWASP Kansai #owaspkansai ITセキュリティにおける 社外活動と社内活動の一事例 Fenrir Design Techno #3 「組織やコミュニティのデザインに求められる要素とは?」
OWASP Kansai #owaspkansai Who am I ? 森田 智彦(37) 社会人13年目
某・家電メーカーにて 自社製品の品質評価の一環で セキュリティ診断の業務に従事 ⇒いわゆるホワイトハッカー セキュリティ・コミュニティOWASPの 関西支部リーダー 2
OWASP Kansai #owaspkansai What is OWASP?
OWASP Kansai #owaspkansai OWASPとは みんなの力で ウェブで できたもんの セキュリティを 何とかする活動
OWASP Kansai #owaspkansai OWASPの活動例 :ガイドラインの制定 【OWASP TOP 10】 3年に一度、Webアプリケーションの注意すべき脆弱性と対策をまとめて公表 :ソフトウェアの開発
【OWASP ZAP】 オープンソースの脆弱性診断ツール :コミュニティの支援 【Local Chapter】 世界中に200を超えるITセキュリティコミュニティ 5
OWASP Kansai #owaspkansai 国内のOWASPローカルチャプター 6 Akita 2017/05 50人 Fukushima 2016/02
20人 Sendai 2015/09 180人 Natori 2017/03 100人 Okinawa 2016/02 180人 Hokushinetsu 2017/05 20人 Kyushu 2015/02 140人 Nagoya 2017/06 380人 Japan 2011/12 2600人 Kansai 2014/02 940人
OWASP Kansai #owaspkansai セキュリティ 本日の主題「組織やコミュニティ」 • 組織デザインに求められる要素とは ・・・? • セキュリティ業界という切り口で
• 社内外の活動における「事例や工夫」をご紹介 7 OWASP 社外コミュニティ 家電メーカー 社内の組織
OWASP Kansai #owaspkansai 導入:セキュリティって大変 • まだまだ歴史が浅く人材不足 • 技術の進歩が非常に速く、追い かけるのは大変 •
攻撃者のほうがスキルが高く、 圧倒的に有利 • いざ問題が起こるとビジネスが 継続できなくなる 8
OWASP Kansai #owaspkansai セキュリティよろしくって言われても • 本を読んでも、具体例が少なく、よくわからん • いざ困ったときに、誰に相談したらいいかわからない • 上司/出入りの営業さんの言ってること、
本当に正しいのだろうか • ひとり/一社で守っていくには、限界がある 9
OWASP Kansai #owaspkansai 前半:コミュニティへの参加 • 社外に出よう • 新しい情報に触れて、目利きする眼を育てよう • さまざまな立場の人の意見を聞いて、複数のモノサシを持とう
• ひとり/一社で守っていくものではない!! • みんなの知見を持ち寄ろう • 発表すればするほど、有用な情報が集まってくる • コミュニティ活動が大事 10
OWASP Kansai #owaspkansai セミナーとコミュニティの違い 比較項目 セミナー コミュニティ 学べる内容 大きなテーマに沿った講義 ほぼ想定どおりの内容
玉石混合 素敵な偶然、セレンディピティ 参加費用 無料~十数万円 ほぼ無料 講師と参加者 一方通行の講義 質問しにくい雰囲気 双方向、講師にも学び 気軽に意見交換 参加者同士 ほとんどない 来て、そのまま帰る 密接なかかわり 新しい出会い 商業的な偏り 商用ツールに限定した手厚いサポート 商業的なポジショントーク 特定ベンダーによらない 腹を割った、ぶっちゃけトーク 業務認定 多くの場合は業務内の活動 多くの場合は、個人の趣味レベル 所属によって理解の度合いはそれぞれ 11
OWASP Kansai #owaspkansai なぜコミュニティ活動が活発なのか • もともとIT勉強会は、有志のコミュニティ活動が活発 • 発信/アウトプットが重視されている • 整理することで理解度が深まる
• 一緒に活動していく仲間ができる • 公開、シェアすることが評価される文化 • OSS的なエコシステム • ソースや仕様を公開することで、継続的ブラッシュアップ、脆弱性の修正 • 独自方式や仕様を隠すこと、セキュリティ的には得策ではない場合が多い • 攻撃に対して、みんなで連携して備える • 迅速に情報共有するために、国や組織、業界団体同士のネットワーク • 個人レベルでも同じ 12 [参考]ssmjp インフラ運用勉強会 https://ssmjp.connpass.com/
OWASP Kansai #owaspkansai 用語:ハック?ハッカー? 13 • ハッキング:悪いイメージ、クラッキング • ハック:本来良いイメージ、スマートに生き抜く知恵や工夫
OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない:誰でも参加できるよう幅広いコンテンツを用意 14 ・セミナー形式 大規模な人数 発表を話題のテーマに統一
・ハンズオン形式 少人数で密度を濃く PCを持ち寄って技術習得 ・ゲーム形式 非技術者でも気軽に参加できる セキュリティボードゲーム
OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない:幅広いコンテンツを用意 15 ・ビアバッシュ形式 ごった煮感、関西らしさ セキュリティに興味がなくても
行ってみたくなる勉強会
OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上:徹底した映え重視 16 ・大胆なローカライズ かわいい おもろい
楽しそう 京阪神 ・もともとは蜂(WASP) お固い しらんがな なんじゃこれ 英語
OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上:徹底した映え重視 17 ・エンジニア、PCに ステッカー貼りがち問題
OWASP Kansai #owaspkansai コミュニティ運営におけるハック③ • 適度な新陳代謝:他のコミュニティとの連携 18 ・学生に来てもらうのでは なく、大学で出前開催 ・他のコミュニティの
告知を歓迎
OWASP Kansai #owaspkansai 結果:圧倒的進捗 • コミュニティ加入者の 拡大! • 現在のコミュニティ人 数:950人
• ぜひ遊びに来てくださ い 19
OWASP Kansai #owaspkansai 後半 • 家電メーカーでの、自組織の話 20 セキュリティ OWASP 社外コミュニティ
家電メーカー 社内の組織
OWASP Kansai #owaspkansai 私と組織の話 • 某家電メーカーに2007年入社 • 2012年まで • ハードウェアの品質評価担当だった
• 通信線や電子回路の通信強度や電磁ノイズの計測業務 • 「君、通信詳しかったよね」くらいのノリで • 突然の異動 • ソフトウェア品質評価、自社製品のセキュリティ診断 • HTTPって何?くらいのレベル 21
OWASP Kansai #owaspkansai 深刻なセキュリティ人材不足 • ハッキング・・・魅力的な業務! • 一方、組織の課題 • IoTセキュリティの注目度高→業務案件数がどんどん増加
• 攻撃手法の多様化・高度化→業務の難易度がますますUP • 職人気質の技術者 →チーム内のノウハウ共有に課題 • 世間は人材獲得競争激化 →メーカーの一部署では認知度不足 • そして環境の悪化 22
OWASP Kansai #owaspkansai 課題の解決 • 解決策? • ①社内の部署異動で人員確保(※私もその一人) • ②個人のスキルを高め、ひたすら頑張る
• ③自動ツールの導入や業務効率化 • なんとかこの現状を変えたい! • ④があるはず! • 持ち前のポジティブさ • 他部署からの編入による岡目八目 • コミュニティで得られる新しい情報 • ホワイトハッカー的アプローチ 23
OWASP Kansai #owaspkansai カイシャハック(造語) • 会社の仕組みを有効活用し、柔軟なアプローチで課題解決すること • 正しいプロトコルを理解して、正しいポートにさまざまなコマンドを送れば、 • 巨大なブラックボックス装置も動きだす
• 正しいポート=協力者を見極める • 直属の上司、斜め上の上司、さらに上の上司、あるいは同僚、同志 • 人事、採用、広報、労働組合などの他部署 • 正しいと思ったことを、ただやるだけ • 会社の中でやっちゃダメなことは意外と少ない • 多くの場合は、自ら制限をかけてしまっているだけ • これは禁止されている = そこまでなら大丈夫 • 怒られそう = あやまったら大丈夫 • それはあなたの業務じゃない = 結果につながるアプローチは一つではない • それは自分の業務じゃない = 同じ結果なら面白い方を選んでは? 24
OWASP Kansai #owaspkansai ④他の策=リクルーティング • ハック1:社外からの認知向上 • カンファレンスやIT勉強会での技術発表 • クラウドソーシングでのロゴ作成やノベルティ配布
• 各種イベント協賛し、学生へアプローチできる専用チャネル確保 • ハック2:部署内の風土づくり • 作業服からロゴ入りチームウェア、チーム感の醸成 • 社外勉強会の情報をシェアして、脱・ひきこもりを促す • 業務外にみられがちな活動を「これも仕事」と上司の理解を得る 25
OWASP Kansai #owaspkansai ④他の策=リクルーティング • ハック3:独自のリクルーティング活動 • 現場の技術者が外に出向く • 人事・採用による従来の新卒一括採用に依存しない
• 会社単位ではなく、部署独自の見学会やインターンを開催 • ハック4:前例にとらわれない • 即戦力の人材として高専をターゲット • 前例「本社は大卒以上」に縛られがちな人事・採用担当を説得 • 約5年間の④活動の結果 • 2019年度の新卒入社3名(高専卒を含む) • 部署内には、積極的にノウハウ共有する文化 26
OWASP Kansai #owaspkansai まとめ • コミュニティの活動への参画は、多大なメリットがある • OWASP Kansaiに遊びに来てください •
がっつりセキュリティの人も • いきなりセキュリティの人も • これからセキュリティの人も • 会社の仕組みやシゴトもハックできる • やりたいことをやって楽しくはたらきましょう! 27 みんなの窓口
28 さまざまな活動を行う上で 勇気づけられた言葉
29 以前の職場の所長 「 おまえは、 おれのこと騙しきったらええねん 心配すんな 責任取るのは俺やから 」
30 現在の職場の所長 「 提案資料とかいらんで おまえのやりたいことは判ってる 」
31 CTO 「 積極的に 社外に飛び出し、 インプットの質と量の獲得に 貪欲に取り組んでください 」
32 斜め上の上司 「 By name で仕事する時代やで 会社の名前ではなく 」