1. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA Technology Conference 2017
DeNAでのチート診断・脆弱性診断の取り組み
株式会社ディー・エヌ・エー
システム本部セキュリティ部
セキュリティ技術グループ
杉山 俊春
1
3. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA セキュリティ部(技術グループ)と私
3
2012
2013
2015
2013/4
セキュリティ
グループ発足
2014/4
セキュリティ部発足
・セキュリティ技術グループ←こっち
・セキュリティ推進グループ
Join!
セキュリティ部の位置づけ 技術グループの成り立ち
2017/2
現在9名
セキュリティ会社出身:2名
社内教育でメンバー育成
2014
2016
2017
:異動
4. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA セキュリティ部(技術グループ)のお仕事
リリースするアプリ・サービスのチート・脆弱性診断全般
本番ネットワークのセキュリティ(踏み台サーバ)
社内ネットワークのセキュリティ
セキュリティ相談・設計
脆弱性情報調査・社内共有
各種セキュリティの仕組み、ツールの作成
など色々
4
5. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティって?
5
皆さん セキュリティってどうしてますか?
6. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティって?
「セキュリティ」と言っても幅広いので、例えば、
スマートフォンアプリのセキュリティ
ゲームアプリのセキュリティ
といわれて、何をしなきゃいけないかがイメージでき
ますか?
6
7. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティって?
とあるゲームで
「まだリリースしていないアイテムを所持している
ユーザがいました」
この時、考えられる原因と対策は?
7
8. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティって?
8
セキュリティって難しい?
9. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
9
出典:経済産業省 IT人材の最新動向と将来推計に関する調査結果について
http://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html
10. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
10
現在
情報セキュリティ人材 28.1万人
+13.2万人不足
すごく足りていない!?
出典:経済産業省 IT人材の最新動向と将来推計に関する調査結果について
http://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html
11. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
11
でも、ちょっと待って!
12. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
12
現在
情報セキュリティ人材 28.1万人
IT人材 91.9万人
現時点でIT人材の約3割が
情報セキュリティ人材(というデータでの話)
出典:経済産業省 IT人材の最新動向と将来推計に関する調査結果について
http://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html
13. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
13
いい人材が見つかるまで待つ
セキュリティ人材を育てる
実はセキュリティ人材はたくさんいる
14. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
14
セキュリティって難しい?
↓
範囲を明確にして、ひとつずつちゃんと
見ていけばそんなにややこしい話ではない!
はず…
27. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
ゲームのシステム構成の色々
ローカルのみ
27
アプリダウンロード
課金処理
IAP、IAB
※IAP, IAB:In App Purchase (App Store) , In App Billing (Google Play)
App Store
Google Play
28. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
ゲームのシステム構成の色々
クライアントアプリ+サーバ(単純なデータの保存のみ)
28
アプリダウンロード
課金処理 App Store
Google Play
データ読み込み
データ保存
29. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
ゲームのシステム構成の色々
クライアントアプリ+サーバ側ロジック
29
アプリダウンロード
課金処理 App Store
Google Play
ゲームサーバ
データ読み込み、処理結果
処理実行
課金検証
各種検証、処理実行
検証結果
30. Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
ゲームのシステム構成の色々
クライアントアプリ+サーバ側ロジック+SNS or プラットフォーム連
携
30
アプリダウンロード
課金処理 App Store
Google Play
ゲームサーバ
データ読み込み
処理結果
処理実行
課金検証
各種検証、
処理実行
検証結果
データ読み込み
処理結果
処理実行
ゲームプラットフォーム
データ読み込み
処理結果
処理実行