ＤｅＮＡのサイバーセキュリティ―Ｍｏｂａｇｅを守った男の戦いの記録

茂岩 祐樹【著】

日経ＢＰ（2016/09発売）

• サイズ A5判／ページ数 190p／高さ 22cm
• 商品コード 9784822237837
• NDC分類 007.3
• Cコード C3055

出版社内容情報

　Mobageなど数多くのインターネットサービスを提供するDeNA。同社のようなネット企業は、どのようにサーバーセキュリティに取り組んでいるのか、本書にて初めて明かします。

　著者は、DeNAにてセキュリティ専門組織を立ち上げた当事者。今も最前線に立つサイバーセキュリティの第一人者です。自身の経験を基にしたノウハウが随所に書かれており、著者のたどった道を追いかけるだけでも大いに参考になります。

　「サイバーセキュリティはIT技術の総合格闘技である」。著者はこう言い、技術者としてのやりがいを強く感じる分野だと説明します。同時に、本書ではDeNAという組織として、サイバー攻撃に立ち向かう体制をいかにして整えたのか、その取り組みを詳しく説明しています。「いかに経営巻き込むか」「コストセンターとなるセキュリティ部門をどのようにして活性化させるか」。こうしたマネジメントに重心を置いた本です。

　本書はITエンジニアだけでなく、むしろ経営者やビジネスリーダーに読んでほしい。なぜならDeNAのセキュリティには、「ビジネスを強くする」という明確なポリシーがあるからです。「セキュリティは重大な経営課題である」と言われていますが、ではどのようにしてその課題に取り組めばいいのか、その答えの1つがここにあります。

◆第1章◆
　セキュリティエンジニアへの転身
1-1.　きっかけは「Mobageのスマートフォン対応
1-2.　筆者のルーツは「インフラエンジニア」
1-3.　「スモールスタート」、まずはリサーチ
1-4.　コミュニティーで仲間を得る
1-5.　「CSIRTハンドブック」との出合いが背中押す
1-6.　Black Hat＆DEF CON ?ハッカーの祭典
1-7.　専任組織を作る、カギは経済的な価値
1-8.　ついに決断、「セキュリティにコミットしよう」

◆第2章◆
　DeNA 流サイバーセキュリティの実際
2-1.　「CSIRT」と「セキュリティ部」、2つの組織
2-2.　嫌われる「ルール」、愛される「ルール」
2-3.　DeNAが目指すセキュリティの理想
2-4.　脆弱性診断、「チート」も許さぬ
2-5.　初めて気づいたモニタリングの重要性
2-6.　異常検知とインシデントレスポンス
2-7.　セキュリティ部門の技術力を磨く「R＆D」
2-8.　経営層と現場にどう伝えるか？
2-9.　プレゼンスと技術力の重要性
2-10.　DevOps+協力の輪が強さを生む
2-11.　優秀なエンジニアを味方にする

◆第3章◆
　5年のセキュリティ経験でわかった大事なこと
3-1.　合意形成が何よりも大事
3-2.　「マルウエアが社内に侵入したら」と想定
3-3.　大事件が起こる前に動く意義
3-4.　経営層に話をするタイミングをつかむ
3-5.　本当に守りたいものを決める
3-6.　Secure by Designのススメ
3-7.　わかりやすく、ぶれない基準と透明性
3-8.　事業は常に変化する、技術も常に変わっていく
3-9.　適切なセキュリティは企業の生命力を強化する
3-10.　求められる強力な言語能力
3-11.　失敗からの教訓
3-12.　セキュリティ対策のプロジェクトマネジメント
3-13.　状況をコントロールできているかどうかが大事
3-14.　セキュリティ原理主義からの脱却

◆第4章◆
　「Mobage を守った男」のセキュリティヒストリー
4-1.　スマホ時代の幕開けと海外事業展開
4-2.　JPCERT/CC訪問
4-3.　CSIRTハンドブック
4-4.　NCAへの参加
4-5.　震災発生、CSIRT構築がストップ
4-6.　国内企業の事故で経営層の理解が進む
4-7.　技術調査により自社の課題が浮き彫りになる
4-8.　CTOの承認、今も息づくコンセプトが決まる
4-9.　最初は混乱、アドバイザーの力を借りて乗り切る
4-10.　NCA正式加盟、意見交換はプラス効果大
4-11.　初めてのセキュリティ人材採用
4-12.　セキュリティチームの運営
4-13.　セキュリティG誕生
4-14.　新卒を育成、既に主戦力に
4-15.　FIRST加盟、CSIRTを海外拠点に拡張
4-16.　「人」対策を進めつつ、CSIRT認知度向上
4-17.　グローバルセキュリティポリシー策定
4-18.　セキュリティ部の誕生

◆第5章◆
　サイバーセキュリティ ―技術に対するDeNAの取り組み
5-1.　コンピュータサイエンスの総合格闘技
5-2.　「100％防ぐことはできない」が今の考え方
5-3.　ソフトウエア設計・開発
5-4.　ネットワーク
5-5.　OS
5-6.　バイナリー解析と通信改ざん
5-7.　インターネット以外の通信
5-8.　大量ログの分析と機械学習
5-9.　内製とアウトソースを使い分ける
5-10.　リスク分析

◆第6章◆
　セキュリティ組織の運営ノウハウ
6-1.　会社のビジョンに基づいて先を読む
6-2.　何が足りないかをCSIRTとの交流で見いだす
6-3.　エンジニアの成長を促す仕組み
6-4.　平和なときこそセキュリティを見える化する
6-5.　セキュリティ業務のQCD、注視すべきは「納期」
6-6.　変わり続けること

◆第7章◆
　サイバーセキュリティの世界へようこそ！
7-1.　技術的な刺激があるセキュリティエンジニア
7-2.　セキュリティエンジニアの活躍の場は無限
7-3.　サイバーセキュリティの世界へのはじめの一歩

茂岩　祐樹［シゲイワユウキ］

目次

第１章　セキュリティエンジニアへの転身
第２章　ＤｅＮＡ流サイバーセキュリティの実際
第３章　５年のセキュリティ経験でわかった大事なこと
第４章　「Ｍｏｂａｇｅを守った男」のセキュリティヒストリー
第５章　サイバーセキュリティ―技術に対するＤｅＮＡの取り組み
第６章　セキュリティ組織の運営ノウハウ
第７章　サイバーセキュリティの世界へようこそ！

著者等紹介

茂岩祐樹［シゲイワユウキ］
ディー・エヌ・エーシステム本部セキュリティ部部長。石川県金沢市生まれ。１９９５年東京都立大学大学院修士課程修了後、日本ＩＢＭへ入社しシステムエンジニアとして勤務。１９９９年ＤｅＮＡ入社。創業時から２０１４年までインフラ構築・運用を統括。２０１４年にセキュリティ部を設立し、ＤｅＮＡグループの情報セキュリティを統括（本データはこの書籍が刊行された当時に掲載されていたものです）
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。

感想・レビュー

※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。

[takachan]

DeNAという企業の中でセキュリティ対策をどう進めてきたががわかる。エンジニア向けというより経営層向けの本。4-10にPoC (Point of Contracts)とあるが、Point of Contactの間違い。こんな間違いや、WELQの件を考えると、この会社、大丈夫かな？と思ってしまう。Kindle 2016年9月16日第1版にて。

2017/08/12

[Junya Akiba]

DeNAのセキュリティはこうやって守られているのか？ということがよくわかる本。どのように企業内でセキュリティ関連部署が認知され認められていくか？新興ネット企業が激しい競争環境の中でどのように適切なセキュリティの対策を講じていくか？セキュリティにどれだけコストを割いて本気になるかは多くの企業に共通する悩みであるが、それらを過度にお金をかけずにバランスよく、また、現場から嫌がれず、偉ぶらずに解決していく様子は、一度だけであるが話を聞いた時の茂庭さんのお人柄がよく出ている本であった。

2017/05/13

[5roumiles]

セキュリティエンジニアのあるあるが非常におおくちりばめられている。 そして、それがどこまでできてたあるのか言葉の節々にできてないところには胸が痛む。 インフラ、アプリ、各々の担当の方々にも響いていくのだろうなと思った！

2016/12/16

[サンチェス]

ITパスポートとか情報セキュリティマネジメントを取得したくらいの知識があると楽しく読める。むしろそういった資格試験にあたって副読本とするくらいでもいいと思う。実務に沿っているので、机上だけではいまいち理解が足りないと思ったら読んでみてもいいかもしれない。日本において情報セキュリティという用語すら認知されていなかった頃からセキュリティはどうあるべきか考え続けた人の本。「100％防げない攻撃の被害をどのように抑えるか」といった考え方は非常に重要なので、直接こうした業務に関わらない人にも是非読んでほしいところ。

2016/11/28

[ripple]

Web企業としてどうセキュリティに向かい合うのかその一つの解がしめされている 環境によりベストはことなるが、現場と経営が危機感を持ち向かい合えるというのが強い企業なのだろう

2021/09/24