ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security

Transcript

1. OWASP Kansai #owaspkansai ITセキュリティにおける 社外活動と社内活動の一事例 Fenrir Design Techno #3 「組織やコミュニティのデザインに求められる要素とは？」

2. OWASP Kansai #owaspkansai Who am I ? 森田 智彦（３７） 社会人１３年目

   某・家電メーカーにて 自社製品の品質評価の一環で セキュリティ診断の業務に従事 ⇒いわゆるホワイトハッカー セキュリティ・コミュニティOWASPの 関西支部リーダー 2

3. OWASP Kansai #owaspkansai What is OWASP？

4. OWASP Kansai #owaspkansai OWASPとは みんなの力で ウェブで できたもんの セキュリティを 何とかする活動

5. OWASP Kansai #owaspkansai OWASPの活動例 ：ガイドラインの制定 【OWASP TOP 10】 3年に一度、Webアプリケーションの注意すべき脆弱性と対策をまとめて公表 ：ソフトウェアの開発

   【OWASP ZAP】 オープンソースの脆弱性診断ツール ：コミュニティの支援 【Local Chapter】 世界中に２００を超えるITセキュリティコミュニティ 5

6. OWASP Kansai #owaspkansai 国内のOWASPローカルチャプター 6 Akita 2017/05 50人 Fukushima 2016/02

   20人 Sendai 2015/09 180人 Natori 2017/03 100人 Okinawa 2016/02 180人 Hokushinetsu 2017/05 20人 Kyushu 2015/02 140人 Nagoya 2017/06 380人 Japan 2011/12 2600人 Kansai 2014/02 940人

7. OWASP Kansai #owaspkansai セキュリティ 本日の主題「組織やコミュニティ」 • 組織デザインに求められる要素とは ・・・？ • セキュリティ業界という切り口で

   • 社内外の活動における「事例や工夫」をご紹介 7 OWASP 社外コミュニティ 家電メーカー 社内の組織

8. OWASP Kansai #owaspkansai 導入：セキュリティって大変 • まだまだ歴史が浅く人材不足 • 技術の進歩が非常に速く、追い かけるのは大変 •

   攻撃者のほうがスキルが高く、 圧倒的に有利 • いざ問題が起こるとビジネスが 継続できなくなる 8

9. OWASP Kansai #owaspkansai セキュリティよろしくって言われても • 本を読んでも、具体例が少なく、よくわからん • いざ困ったときに、誰に相談したらいいかわからない • 上司／出入りの営業さんの言ってること、

   本当に正しいのだろうか • ひとり／一社で守っていくには、限界がある 9

10. OWASP Kansai #owaspkansai 前半：コミュニティへの参加 • 社外に出よう • 新しい情報に触れて、目利きする眼を育てよう • さまざまな立場の人の意見を聞いて、複数のモノサシを持とう

    • ひとり／一社で守っていくものではない！！ • みんなの知見を持ち寄ろう • 発表すればするほど、有用な情報が集まってくる • コミュニティ活動が大事 10

11. OWASP Kansai #owaspkansai セミナーとコミュニティの違い 比較項目 セミナー コミュニティ 学べる内容 大きなテーマに沿った講義 ほぼ想定どおりの内容

    玉石混合 素敵な偶然、セレンディピティ 参加費用 無料～十数万円 ほぼ無料 講師と参加者 一方通行の講義 質問しにくい雰囲気 双方向、講師にも学び 気軽に意見交換 参加者同士 ほとんどない 来て、そのまま帰る 密接なかかわり 新しい出会い 商業的な偏り 商用ツールに限定した手厚いサポート 商業的なポジショントーク 特定ベンダーによらない 腹を割った、ぶっちゃけトーク 業務認定 多くの場合は業務内の活動 多くの場合は、個人の趣味レベル 所属によって理解の度合いはそれぞれ 11

12. OWASP Kansai #owaspkansai なぜコミュニティ活動が活発なのか • もともとIT勉強会は、有志のコミュニティ活動が活発 • 発信／アウトプットが重視されている • 整理することで理解度が深まる

    • 一緒に活動していく仲間ができる • 公開、シェアすることが評価される文化 • OSS的なエコシステム • ソースや仕様を公開することで、継続的ブラッシュアップ、脆弱性の修正 • 独自方式や仕様を隠すこと、セキュリティ的には得策ではない場合が多い • 攻撃に対して、みんなで連携して備える • 迅速に情報共有するために、国や組織、業界団体同士のネットワーク • 個人レベルでも同じ 12 [参考]ssmjp インフラ運用勉強会 https://ssmjp.connpass.com/

13. OWASP Kansai #owaspkansai 用語：ハック？ハッカー？ 13 • ハッキング：悪いイメージ、クラッキング • ハック：本来良いイメージ、スマートに生き抜く知恵や工夫

14. OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない：誰でも参加できるよう幅広いコンテンツを用意 14 ・セミナー形式 大規模な人数 発表を話題のテーマに統一

    ・ハンズオン形式 少人数で密度を濃く PCを持ち寄って技術習得 ・ゲーム形式 非技術者でも気軽に参加できる セキュリティボードゲーム

15. OWASP Kansai #owaspkansai コミュニティ運営におけるハック① • 飽きさせない：幅広いコンテンツを用意 15 ・ビアバッシュ形式 ごった煮感、関西らしさ セキュリティに興味がなくても

    行ってみたくなる勉強会

16. OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上：徹底した映え重視 16 ・大胆なローカライズ かわいい おもろい

    楽しそう 京阪神 ・もともとは蜂（WASP） お固い しらんがな なんじゃこれ 英語

17. OWASP Kansai #owaspkansai コミュニティ運営におけるハック② • 認知度向上：徹底した映え重視 17 ・エンジニア、PCに ステッカー貼りがち問題

18. OWASP Kansai #owaspkansai コミュニティ運営におけるハック③ • 適度な新陳代謝：他のコミュニティとの連携 18 ・学生に来てもらうのでは なく、大学で出前開催 ・他のコミュニティの

    告知を歓迎

19. OWASP Kansai #owaspkansai 結果：圧倒的進捗 • コミュニティ加入者の 拡大！ • 現在のコミュニティ人 数：950人

    • ぜひ遊びに来てくださ い 19

20. OWASP Kansai #owaspkansai 後半 • 家電メーカーでの、自組織の話 20 セキュリティ OWASP 社外コミュニティ

    家電メーカー 社内の組織

21. OWASP Kansai #owaspkansai 私と組織の話 • 某家電メーカーに２００７年入社 • ２０１２年まで • ハードウェアの品質評価担当だった

    • 通信線や電子回路の通信強度や電磁ノイズの計測業務 • 「君、通信詳しかったよね」くらいのノリで • 突然の異動 • ソフトウェア品質評価、自社製品のセキュリティ診断 • HTTPって何？くらいのレベル 21

22. OWASP Kansai #owaspkansai 深刻なセキュリティ人材不足 • ハッキング・・・魅力的な業務！ • 一方、組織の課題 • IoTセキュリティの注目度高→業務案件数がどんどん増加

    • 攻撃手法の多様化・高度化→業務の難易度がますますUP • 職人気質の技術者 →チーム内のノウハウ共有に課題 • 世間は人材獲得競争激化 →メーカーの一部署では認知度不足 • そして環境の悪化 22

23. OWASP Kansai #owaspkansai 課題の解決 • 解決策？ • ①社内の部署異動で人員確保（※私もその一人） • ②個人のスキルを高め、ひたすら頑張る

    • ③自動ツールの導入や業務効率化 • なんとかこの現状を変えたい！ • ④があるはず！ • 持ち前のポジティブさ • 他部署からの編入による岡目八目 • コミュニティで得られる新しい情報 • ホワイトハッカー的アプローチ 23

24. OWASP Kansai #owaspkansai カイシャハック（造語） • 会社の仕組みを有効活用し、柔軟なアプローチで課題解決すること • 正しいプロトコルを理解して、正しいポートにさまざまなコマンドを送れば、 • 巨大なブラックボックス装置も動きだす

    • 正しいポート＝協力者を見極める • 直属の上司、斜め上の上司、さらに上の上司、あるいは同僚、同志 • 人事、採用、広報、労働組合などの他部署 • 正しいと思ったことを、ただやるだけ • 会社の中でやっちゃダメなことは意外と少ない • 多くの場合は、自ら制限をかけてしまっているだけ • これは禁止されている ＝ そこまでなら大丈夫 • 怒られそう ＝ あやまったら大丈夫 • それはあなたの業務じゃない ＝ 結果につながるアプローチは一つではない • それは自分の業務じゃない ＝ 同じ結果なら面白い方を選んでは？ 24

25. OWASP Kansai #owaspkansai ④他の策＝リクルーティング • ハック１：社外からの認知向上 • カンファレンスやIT勉強会での技術発表 • クラウドソーシングでのロゴ作成やノベルティ配布

    • 各種イベント協賛し、学生へアプローチできる専用チャネル確保 • ハック２：部署内の風土づくり • 作業服からロゴ入りチームウェア、チーム感の醸成 • 社外勉強会の情報をシェアして、脱・ひきこもりを促す • 業務外にみられがちな活動を「これも仕事」と上司の理解を得る 25

26. OWASP Kansai #owaspkansai ④他の策＝リクルーティング • ハック３：独自のリクルーティング活動 • 現場の技術者が外に出向く • 人事・採用による従来の新卒一括採用に依存しない

    • 会社単位ではなく、部署独自の見学会やインターンを開催 • ハック４：前例にとらわれない • 即戦力の人材として高専をターゲット • 前例「本社は大卒以上」に縛られがちな人事・採用担当を説得 • 約５年間の④活動の結果 • 2019年度の新卒入社３名（高専卒を含む） • 部署内には、積極的にノウハウ共有する文化 26

27. OWASP Kansai #owaspkansai まとめ • コミュニティの活動への参画は、多大なメリットがある • OWASP Kansaiに遊びに来てください •

    がっつりセキュリティの人も • いきなりセキュリティの人も • これからセキュリティの人も • 会社の仕組みやシゴトもハックできる • やりたいことをやって楽しくはたらきましょう！ 27 みんなの窓口

28. 28 さまざまな活動を行う上で 勇気づけられた言葉

29. 29 以前の職場の所長 「 おまえは、 おれのこと騙しきったらええねん 心配すんな 責任取るのは俺やから 」

30. 30 現在の職場の所長 「 提案資料とかいらんで おまえのやりたいことは判ってる 」

31. 31 CTO 「 積極的に 社外に飛び出し、 インプットの質と量の獲得に 貪欲に取り組んでください 」

32. 32 斜め上の上司 「 By name で仕事する時代やで 会社の名前ではなく 」