Upload
masaki-kasuya
View
1.080
Download
0
Embed Size (px)
Citation preview
買収案件のセキュリティテストを円滑に進める手段糟谷 正樹 (Ph.D.)楽天株式会社2016/03/09 (Wed)
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
背景• 楽天はインターネットサービス企業
– ウェブアプリケーションを軸にビジネスを展開する• 買収は楽天のビジネスを成長させる
– インターネットサービス関連企業が買収の対象– ウェブアプリケーションに価値を見出す
• 買収による楽天のメリット– 既存サービスの強化– 新規領域への早期参入– グループシナジーによる楽天経済圏の成長
買収案件の成功のために• ウェブアプリケーションの評価が重要となる– 経営層 / 事業の視点
• 買収先のアプリケーションが収益に貢献できるのか– エンジニアの視点
• システム統合に悪影響がないか• セキュリティは担保されているか
買収案件とウェブアプリのセキュリティ• 買収する側とされる側のウェブアプリケーションのセキュリティレベルは異なる
• セキュリティテストによりリスクを評価をする
楽天セキュリティエンジニアの雇用ありセキュリティテストによる脆弱性の管理買収先セキュリティエンジニアの雇用なしセキュリティテストの経験なし
セキュリティエンジニアの仕事• リスクの洗い出し– 知的財産の侵害の可能性– システム統合への悪影響の可能性– 楽天ブランドイメージの低下– コストの検討
アウトライン• サービス企業の買収案件におけるセキュリティの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
全体像買収先の担当者
セキュリティチーム
全体像買収先の担当者
セキュリティチーム
全体像買収先の担当者
セキュリティチーム 開発チーム人事評価チーム 法務チーム事業評価チーム
経営層
仕事量
• 買収先の仕事量は膨大– セキュリティ " だけ " に注力することはできない
• 全体最適のためにコンパクトに動く必要がある
セキュリティチーム 開発チーム人事評価チーム 法務チーム事業評価チーム
事業規模・業績を評価したい 優秀な人材の有無を評価したい 各評価を踏まえ契約書を作成したい開発体制を評価したいセキュリティレベルを評価したい
Communication
求められること
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
テスト対象の把握
• 時間制約により、優先順位をつけることが必要となる• テスト対象は買収後のビジネスプランに依存する• 開発者は買収先のウェブアプリケーションの挙動を把握していることがある
セキュリティチーム 開発チーム事業評価チーム
例• 6 つのアプリケーションがテスト対象であった– A– B– C– D– E– F
• テスト期間は最長でも 5 日であった
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
E と F は close する予定です
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
C は買収後にフルリライトする予定です
E と F は close する予定です
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
B は先方の主力製品です
C は買収後にフルリライトする予定です
E と F は close する予定です
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
B は先方の主力製品です
A はお客様の個人情報を含みますC は買収後にフルリライトする予定です
E と F は close する予定です
決定事項• ディスカッションにより下記の優先順位に決定
1. A ( お客様の個人情報を含むため )2. B ( 買収先の収益に関係するため )3. C ( フルリライトにより優先順位の低下 )4. D5. E6. F
• 2 つのアプリケーションがテスト対象から削除
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
ミーティング事前準備• テスト開始までの準備期間が少ない– スピード優先
• アサインされた同週にミーティングをする• その翌週には作業を開始する
• セキュリティテストの経験が無いことが多数– 短時間で準備を完了できるようにサポートする
失敗例セキュリティテストの目的は ... セキュリティテストの実施方法は ...
サーバやミドルウェアのスペックを ...
Landing Page の URL を ...
アプリケーションの全体の構成は ...
ネットワーク構成は ...
セキュリティテスト実施の同意書の提出を ...
契約締結までに脆弱性を潰して ...
アプリケーションが提供する機能は ...
テスト環境はリモートからアクセス可能か ?
ご担当者の連絡先は ...
セキュリティチーム
失敗例セキュリティテストの目的は ... セキュリティテストの実施方法は ...
サーバやミドルウェアのスペックを ...
Landing Page の URL を ...
アプリケーションの全体の構成は ...
ネットワーク構成は ...
セキュリティテスト実施の同意書の提出を ...
契約締結までに脆弱性を潰して ...
アプリケーションが提供する機能は ...
テスト環境はリモートからアクセス可能か ?
ご担当者の連絡先は ...
セキュリティチーム
聞き出す項目を凝縮する• 大枠だけ固める– 脆弱性修正に関するルール– スケジュールの確認– テスト環境の有無– セキュリティテストに関する同意書の説明– アプリケーションの全体構成
工夫例• テンプレートを用意する– 再利用可能なミーティングスライド– セキュリティテストで必要な情報を記載するシート– セキュリティテストの実施の同意書
• ミーティング前に渡す
実例時間
テンプレートなし テンプレートあり0
0.5
1
1.5
2
• 問題なくテストを実施できた
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
意思決定への関与• 脆弱性修正前に契約締結をする話が稀に出る– 事業部の戦略の都合– 経営層の戦略の都合
• リスクを把握させた上で決断させる– リスクを受容する場合
• フォローアッププランも用意する
ギャップを認識するコスト スピード
KPI ROI
セキュリティ
• セキュリティの優先度が低くなりがち
ギャップを埋める
KPI ROI
• 優先度を上げる工夫をする
コスト スピードセキュリティ
話が伝わらない例
2. XSS が多数 存在しております
1. HTTPS を 利用していないです
脆弱なアプリケーションです
???
セキュリティチーム 事業評価チーム
• 事業の方たちの話題を含めていない
工夫例
セキュリティチーム 事業評価チーム
1. パスワード情報が丸裸のため、お客様のログイン情報が 盗まれ、 KPI を正しく測れない可能性があります
2. 悪意あるサイトに誘導できる脆弱性が多数存在します ブランドイメージが傷つき、 ROI が減少する可能性が あります
契約締結日設定の参考とします
• 事業側の文脈を含めて伝える
実例• 半月〜1ヶ月ほど契約締結が早まる可能性があった• 下記の問題が修正しきれない可能性があった
– HTTPS の未使用– サポートが切れたソフトウェアの利用
• 最終的に契約の締結は早まらなかった– 脆弱性を修正した上で買収を実施した
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
まとめ• インターネットサービス企業の買収案件はウェブアプリケーションのセキュリティテストが重要
– リスクを洗い出すことによりビジネスの成長を支える• コミュニケーションの質が仕事の質を決める