SlideShare uma empresa Scribd logo
1 de 37
Baixar para ler offline
買収案件のセキュリティテストを
円滑に進める手段
糟谷 正樹 (Ph.D.)
楽天株式会社
2016/03/09 (Wed)
アウトライン
• サービス企業の買収案件における
セキュリティテストの重要性
• 買収案件の全体像
• 円滑に進めるためのチェックポイント
– テスト対象の把握
– ミーティングの事前準備
– 意思決定への関与
• まとめ
アウトライン
• サービス企業の買収案件における
セキュリティテストの重要性
• 買収案件の全体像
• 円滑に進めるためのチェックポイント
– テスト対象の把握
– ミーティングの事前準備
– 意思決定への関与
• まとめ
背景
• 楽天はインターネットサービス企業
– ウェブアプリケーションを軸にビジネスを展開する
• 買収は楽天のビジネスを成長させる
– インターネットサービス関連企業が買収の対象
– ウェブアプリケーションに価値を見出す
• 買収による楽天のメリット
– 既存サービスの強化
– 新規領域への早期参入
– グループシナジーによる楽天経済圏の成長
買収案件の成功のために
• ウェブアプリケーションの評価が重要となる
– 経営層 / 事業の視点
• 買収先のアプリケーションが収益に貢献できるのか
– エンジニアの視点
• システム統合に悪影響がないか
• セキュリティは担保されているか
買収案件とウェブアプリのセキュリティ
• 買収する側とされる側のウェブアプリケーションの
セキュリティレベルは異なる
• セキュリティテストによりリスクを評価をする
楽天
セキュリティエンジニアの雇用あり
セキュリティテストによる脆弱性の管理
買収先
セキュリティエンジニアの雇用なし
セキュリティテストの経験なし
セキュリティエンジニアの仕事
• リスクの洗い出し
– 知的財産の侵害の可能性
– システム統合への悪影響の可能性
– 楽天ブランドイメージの低下
– コストの検討
アウトライン
• サービス企業の買収案件における
セキュリティの重要性
• 買収案件の全体像
• 円滑に進めるためのチェックポイント
– テスト対象の把握
– ミーティングの事前準備
– 意思決定への関与
• まとめ
全体像
買収先の担当者
セキュリティチーム
全体像
買収先の担当者
セキュリティチーム
全体像
買収先の担当者
セキュリティチーム 開発チーム人事評価チーム 法務チーム事業評価チーム
経営層
仕事量
• 買収先の仕事量は膨大
– セキュリティ"だけ"に注力することはできない
• 全体最適のためにコンパクトに動く必要がある
セキュリティチーム 開発チーム人事評価チーム 法務チーム事業評価チーム
事業規模・業績を
評価したい
優秀な人材の
有無を評価したい
各評価を踏まえ
契約書を作成したい
開発体制を
評価したい
セキュリティ
レベルを評価したい
Communication
求められること
アウトライン
• サービス企業の買収案件における
セキュリティテストの重要性
• 買収案件の全体像
• 円滑に進めるためのチェックポイント
– テスト対象の把握
– ミーティングの事前準備
– 意思決定への関与
• まとめ
テスト対象の把握
• 時間制約により、優先順位をつけることが必要となる
• テスト対象は買収後のビジネスプランに依存する
• 開発者は買収先のウェブアプリケーションの挙動を
把握していることがある
セキュリティチーム 開発チーム事業評価チーム
例
• 6 つのアプリケーションがテスト対象であった
– A
– B
– C
– D
– E
– F
• テスト期間は最長でも 5 日であった
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
E と F は close する予定です
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
C は買収後にフルリライトする
予定です
E と F は close する予定です
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
B は先方の
主力製品です
C は買収後にフルリライトする
予定です
E と F は close する予定です
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
B は先方の
主力製品です
A はお客様の個人情報を
含みます
C は買収後にフルリライトする
予定です
E と F は close する予定です
決定事項
• ディスカッションにより下記の優先順位に決定
1. A (お客様の個人情報を含むため)
2. B (買収先の収益に関係するため)
3. C (フルリライトにより優先順位の低下)
4. D
5. E
6. F
• 2 つのアプリケーションがテスト対象から削除
アウトライン
• サービス企業の買収案件における
セキュリティテストの重要性
• 買収案件の全体像
• 円滑に進めるためのチェックポイント
– テスト対象の把握
– ミーティングの事前準備
– 意思決定への関与
• まとめ
ミーティング事前準備
• テスト開始までの準備期間が少ない
– スピード優先
• アサインされた同週にミーティングをする
• その翌週には作業を開始する
• セキュリティテストの経験が無いことが多数
– 短時間で準備を完了できるようにサポートする
失敗例
セキュリティテストの目的は... セキュリティテストの実施方法は...
サーバやミドルウェアのスペックを...
Landing Page の URL を...
アプリケーションの全体の構成は...
ネットワーク構成は...
セキュリティテスト実施の
同意書の提出を...
契約締結までに
脆弱性を潰して...
アプリケーションが提供する機能は...
テスト環境はリモートからアクセス可能か?
ご担当者の
連絡先は...
セキュリティチーム
失敗例
セキュリティテストの目的は... セキュリティテストの実施方法は...
サーバやミドルウェアのスペックを...
Landing Page の URL を...
アプリケーションの全体の構成は...
ネットワーク構成は...
セキュリティテスト実施の
同意書の提出を...
契約締結までに
脆弱性を潰して...
アプリケーションが提供する機能は...
テスト環境はリモートからアクセス可能か?
ご担当者の
連絡先は...
セキュリティチーム
聞き出す項目を凝縮する
• 大枠だけ固める
– 脆弱性修正に関するルール
– スケジュールの確認
– テスト環境の有無
– セキュリティテストに関する同意書の説明
– アプリケーションの全体構成
工夫例
• テンプレートを用意する
– 再利用可能なミーティングスライド
– セキュリティテストで必要な情報を記載するシート
– セキュリティテストの実施の同意書
• ミーティング前に渡す
実例時間
0
0.5
1
1.5
2
テンプレートなし テンプレートあり
• 問題なくテストを実施できた
アウトライン
• サービス企業の買収案件における
セキュリティテストの重要性
• 買収案件の全体像
• 円滑に進めるためのチェックポイント
– テスト対象の把握
– ミーティングの事前準備
– 意思決定への関与
• まとめ
意思決定への関与
• 脆弱性修正前に契約締結をする話が稀に出る
– 事業部の戦略の都合
– 経営層の戦略の都合
• リスクを把握させた上で決断させる
– リスクを受容する場合
• フォローアッププランも用意する
ギャップを認識する
コスト スピード
KPI ROI
セキュリティ
• セキュリティの優先度が低くなりがち
ギャップを埋める
KPI ROI
• 優先度を上げる工夫をする
コスト スピード
セキュリティ
話が伝わらない例
2. XSS が多数
存在しております
1. HTTPS を
利用していないです
脆弱なアプリケーションです
???
セキュリティチーム 事業評価チーム
• 事業の方たちの話題を含めていない
工夫例
セキュリティチーム 事業評価チーム
1. パスワード情報が丸裸のため、お客様のログイン情報が
盗まれ、KPI を正しく測れない可能性があります
2. 悪意あるサイトに誘導できる脆弱性が多数存在します
ブランドイメージが傷つき、ROI が減少する可能性が
あります
契約締結日設定の
参考とします
• 事業側の文脈を含めて伝える
実例
• 半月〜1ヶ月ほど契約締結が早まる可能性があった
• 下記の問題が修正しきれない可能性があった
– HTTPS の未使用
– サポートが切れたソフトウェアの利用
• 最終的に契約の締結は早まらなかった
– 脆弱性を修正した上で買収を実施した
アウトライン
• サービス企業の買収案件における
セキュリティテストの重要性
• 買収案件の全体像
• 円滑に進めるためのチェックポイント
– テスト対象の把握
– ミーティングの事前準備
– 意思決定への関与
• まとめ
まとめ
• インターネットサービス企業の買収案件は
ウェブアプリケーションのセキュリティテストが重要
– リスクを洗い出すことによりビジネスの成長を支える
• コミュニケーションの質が仕事の質を決める

Mais conteúdo relacionado

Semelhante a 買収案件のセキュリティテストを 円滑に進める手段

NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上aslead
 
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上aslead
 
「企業システムにおける意志決定とITサービス運営について」 ユーザ企業との協業によるエンタープライズ・アジャイルの支援 ~東京商工リサーチの事例~
「企業システムにおける意志決定とITサービス運営について」  ユーザ企業との協業によるエンタープライズ・アジャイルの支援 ~東京商工リサーチの事例~「企業システムにおける意志決定とITサービス運営について」  ユーザ企業との協業によるエンタープライズ・アジャイルの支援 ~東京商工リサーチの事例~
「企業システムにおける意志決定とITサービス運営について」 ユーザ企業との協業によるエンタープライズ・アジャイルの支援 ~東京商工リサーチの事例~グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
楽天のRPAプラットフォーム構築事例
楽天のRPAプラットフォーム構築事例楽天のRPAプラットフォーム構築事例
楽天のRPAプラットフォーム構築事例Rakuten Group, Inc.
 
複数のMSテクノロジーで会社のITインフラを改善してみた!
複数のMSテクノロジーで会社のITインフラを改善してみた!複数のMSテクノロジーで会社のITインフラを改善してみた!
複数のMSテクノロジーで会社のITインフラを改善してみた!なおき おさだ
 
Deep Learning Lab 2周年 - Deeplearning 導入 PoCを超えるノウハウ
Deep Learning Lab 2周年 - Deeplearning 導入 PoCを超えるノウハウDeep Learning Lab 2周年 - Deeplearning 導入 PoCを超えるノウハウ
Deep Learning Lab 2周年 - Deeplearning 導入 PoCを超えるノウハウRidge-i
 
経営情報フォーラム2009
経営情報フォーラム2009経営情報フォーラム2009
経営情報フォーラム2009guest5ad17cf
 
経営情報フォーラム2009発表資料
経営情報フォーラム2009発表資料経営情報フォーラム2009発表資料
経営情報フォーラム2009発表資料Keiichi Hashimoto
 
HCCJP teradata final_20190906
HCCJP teradata final_20190906HCCJP teradata final_20190906
HCCJP teradata final_20190906Masakazu Nomura
 
情報処理学会 AI tech talk Ridge-i
情報処理学会 AI tech talk Ridge-i情報処理学会 AI tech talk Ridge-i
情報処理学会 AI tech talk Ridge-iRidge-i
 
デジタルサービス化による変革
デジタルサービス化による変革デジタルサービス化による変革
デジタルサービス化による変革Hiroshi Takahashi
 
Bc会社紹介090401
Bc会社紹介090401Bc会社紹介090401
Bc会社紹介090401SO
 
Microsoft de:code 2019 AI05 session
Microsoft  de:code 2019 AI05 sessionMicrosoft  de:code 2019 AI05 session
Microsoft de:code 2019 AI05 sessionRidge-i
 
ディープラーニングによるユーザーの行動予測
ディープラーニングによるユーザーの行動予測ディープラーニングによるユーザーの行動予測
ディープラーニングによるユーザーの行動予測澪標アナリティクス
 
最新事例にみるサービスデザインという新潮流(I・CON2014)
最新事例にみるサービスデザインという新潮流(I・CON2014)最新事例にみるサービスデザインという新潮流(I・CON2014)
最新事例にみるサービスデザインという新潮流(I・CON2014)IMJ Corporation
 
2017年度 AMG Solution 会社説明会資料
2017年度 AMG Solution 会社説明会資料2017年度 AMG Solution 会社説明会資料
2017年度 AMG Solution 会社説明会資料Tomoteru Sannomiya
 
CMS学会 第三回 研究報告
CMS学会 第三回 研究報告CMS学会 第三回 研究報告
CMS学会 第三回 研究報告loftwork
 
Eric riesstartuplessonslearned2011 ja20110605
Eric riesstartuplessonslearned2011 ja20110605Eric riesstartuplessonslearned2011 ja20110605
Eric riesstartuplessonslearned2011 ja20110605Yuki Sekiguchi
 

Semelhante a 買収案件のセキュリティテストを 円滑に進める手段 (20)

Tdc 20181121
Tdc 20181121Tdc 20181121
Tdc 20181121
 
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
 
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
 
「企業システムにおける意志決定とITサービス運営について」 ユーザ企業との協業によるエンタープライズ・アジャイルの支援 ~東京商工リサーチの事例~
「企業システムにおける意志決定とITサービス運営について」  ユーザ企業との協業によるエンタープライズ・アジャイルの支援 ~東京商工リサーチの事例~「企業システムにおける意志決定とITサービス運営について」  ユーザ企業との協業によるエンタープライズ・アジャイルの支援 ~東京商工リサーチの事例~
「企業システムにおける意志決定とITサービス運営について」 ユーザ企業との協業によるエンタープライズ・アジャイルの支援 ~東京商工リサーチの事例~
 
楽天のRPAプラットフォーム構築事例
楽天のRPAプラットフォーム構築事例楽天のRPAプラットフォーム構築事例
楽天のRPAプラットフォーム構築事例
 
複数のMSテクノロジーで会社のITインフラを改善してみた!
複数のMSテクノロジーで会社のITインフラを改善してみた!複数のMSテクノロジーで会社のITインフラを改善してみた!
複数のMSテクノロジーで会社のITインフラを改善してみた!
 
Deep Learning Lab 2周年 - Deeplearning 導入 PoCを超えるノウハウ
Deep Learning Lab 2周年 - Deeplearning 導入 PoCを超えるノウハウDeep Learning Lab 2周年 - Deeplearning 導入 PoCを超えるノウハウ
Deep Learning Lab 2周年 - Deeplearning 導入 PoCを超えるノウハウ
 
経営情報フォーラム2009
経営情報フォーラム2009経営情報フォーラム2009
経営情報フォーラム2009
 
経営情報フォーラム2009発表資料
経営情報フォーラム2009発表資料経営情報フォーラム2009発表資料
経営情報フォーラム2009発表資料
 
HCCJP teradata final_20190906
HCCJP teradata final_20190906HCCJP teradata final_20190906
HCCJP teradata final_20190906
 
情報処理学会 AI tech talk Ridge-i
情報処理学会 AI tech talk Ridge-i情報処理学会 AI tech talk Ridge-i
情報処理学会 AI tech talk Ridge-i
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
デジタルサービス化による変革
デジタルサービス化による変革デジタルサービス化による変革
デジタルサービス化による変革
 
Bc会社紹介090401
Bc会社紹介090401Bc会社紹介090401
Bc会社紹介090401
 
Microsoft de:code 2019 AI05 session
Microsoft  de:code 2019 AI05 sessionMicrosoft  de:code 2019 AI05 session
Microsoft de:code 2019 AI05 session
 
ディープラーニングによるユーザーの行動予測
ディープラーニングによるユーザーの行動予測ディープラーニングによるユーザーの行動予測
ディープラーニングによるユーザーの行動予測
 
最新事例にみるサービスデザインという新潮流(I・CON2014)
最新事例にみるサービスデザインという新潮流(I・CON2014)最新事例にみるサービスデザインという新潮流(I・CON2014)
最新事例にみるサービスデザインという新潮流(I・CON2014)
 
2017年度 AMG Solution 会社説明会資料
2017年度 AMG Solution 会社説明会資料2017年度 AMG Solution 会社説明会資料
2017年度 AMG Solution 会社説明会資料
 
CMS学会 第三回 研究報告
CMS学会 第三回 研究報告CMS学会 第三回 研究報告
CMS学会 第三回 研究報告
 
Eric riesstartuplessonslearned2011 ja20110605
Eric riesstartuplessonslearned2011 ja20110605Eric riesstartuplessonslearned2011 ja20110605
Eric riesstartuplessonslearned2011 ja20110605
 

買収案件のセキュリティテストを 円滑に進める手段

Notas do Editor

  1. ここで 7-8分
  2. 12 分
  3. 16-7分