仕事内容、必要とされるスキル

プロダクトセキュリティチームは、日経のエンジニア組織を横断するチームとして配置されており、プロダクト開発ライフサイクル全般をセキュア化するための取り組みを行います。 また、個別プロダクトの規模や成長に応じて、セキュリティ目線での助言やイベント開催といったかたちでサポートすることもあります。

なお、全社的なセキュリティインシデント対応チーム（SIRT）や、24/365体制のセキュリティ運用チーム（SOC）は別にチームがあるため、当チームの活動対象とはなりません。

「質の高い報道とサービス」をプロダクトセキュリティの観点から実現

チームミッション

日経のデジタルプロダクトのセキュリティリスクをコントロールして事業成長に貢献します。

チーム目標

DevSecOpsによりデジタル事業のサービスで保有する情報を適切に守ること、開発者の体験・開発速度を損なわないことを同時に目指します。

担当する業務

プロダクトセキュリティチームでの働き方は大きく以下の2つにわかれます。

• DevSecOpsエンジニア（エンジニア職）
• セキュリティエンジニア

担当する業務は役割ごとに厳密に分割できるものではありませんが、概念的に「エンジニアリングのためのセキュリティ」と「リスク対応のためのセキュリティ」といった意味で使い分けています。

共通

プロダクトセキュリティチームに所属するメンバーは、案件の特性や担当者のスキルセットに応じて以下のような業務にアサインされる場合があります。 また、多くの案件がチームを横断したものであるため、Slack、Docsを含む文書や口頭によるコミュニケーション能力が必要となります。

• セキュリティレビュー
  • 新規開発案件やセキュリティ要件変更時に、開発チームに所属するエンジニアが設計したアーキテクチャをセキュリティ目線でレビューし、技術的なアドバイスや脅威モデリングを行います。
• セキュリティインシデント対応
  • プロダクトを横断したセキュリティインシデントや広範囲に及ぶ脆弱性の影響調査が発生した際に、開発チームを支援するために一時的にアサインされます。
• プロダクトセキュリティ関連イベントの運営
  • 不定期にバグバウンティプログラムやセキュリティ対応訓練を実施する際、運営メンバーとしてアサインされます。

実際に取り組む内容は、チームの活動状況と担当者のキャリア目標等により半期ごとに決定します。

DevSecOpsエンジニア（エンジニア職）

DevSecOpsエンジニアの役割は、ソフトウェア開発の知見を活用してプロダクトセキュリティの向上を図ることです。 DevSecOpsエンジニアは、バックグラウンドにプロダクト開発経験やチーム開発経験を持つことが望ましく、他の開発チームがよりセキュアに開発できるよう開発基盤を整備することに貢献します。

具体的には、主に以下のような業務を担当します。

• SAST, SCAといった開発プロセスにおけるセキュリティを担保するための取り組み
• プロダクトセキュリティ関連OSSや商用製品の調査、PoC、導入プロセスを通じて普及するまでの一連のプロセス
• パブリッククラウドリソースやSaaSリソースなどを安全利用、適正管理するための仕組みづくり
• ソースコードの依存性管理などサプライチェーンセキュリティを担保するための取り組み
• セキュアコーディングのためのガイドライン策定
• クラウドセキュリティ監視基盤の実装や改善

セキュリティエンジニア

セキュリティエンジニアの役割は、セキュリティ専門人材としての知見を活用してプロダクトセキュリティの向上を図ることです。 セキュリティエンジニアは、バックグラウンドにセキュリティアーキテクトとしての経験や、セキュリティリスク分析経験、セキュリティインシデント対応経験、一般的な脆弱性に関する情報収集の習慣があることが望ましく、開発組織全体のセキュリティを向上することに貢献します。

具体的には、主に以下のような業務を担当します。

• 各種ガイドラインやベンチマークに即したガードレール制定
• クラウドセキュリティ監視基盤の設計や運用
• インシデント対応プロセスの策定、訓練計画、実施
• バグバウンティプログラムの運営
• 脆弱性報告窓口に寄せられた報告への一次対応
• 脆弱性診断の自動化への取り組み
• 開発者用のID管理、認証認可基盤の運用改善

チームメンバーによるアウトプット活動

ブログ投稿

• Security-JAWS 第30回 [Security-JAWS DAYS] Day1 参加記とパーカーの裏
• 日経は学生向けバグバウンティイベント「Student Bug Bounty Battle Royal」に参加します
• SECCON Beginners CTF 2023 Writeup
• 日経電子版がRFC 9116(security.txt)に対応した話
• ブログ投稿(一覧)

イベント登壇

• 2023年10月19日開催 【日経×Flatt Security×IssueHunt】プロダクトセキュリティの民主化と協調

インタビュー記事

• #FlattSecurityMagazine(Flatt Security様)
  • 各領域のスペシャリストが結集しDevSecOpsに取り組む日本経済新聞社のプロダクトセキュリティチーム
• KENRO導入事例インタビュー(Flatt Security様)
  • シフトレフトを軸にした新卒エンジニア研修でのKENRO活用「セキュリティについて相談しやすい空気感」も醸成

登壇スライド