本投稿は TECOTEC Advent Calendar 2024 の11日目の記事です。
テコテック PMO室の木村です。 あえて技術系じゃなく社内の部署について書いて欲しいってことなので、部署で行っている仕事について紹介します。
CISOも兼務しているのでセキュリティの側面が多めですが、社員も増えてきて普段、なかなか関わらない方もいますのでこの機会によろしくお願いします。
今年の作業をいくつか思い出してみる・・
Apple Developer Program や Google Play アカウント管理
新しいアプリの開発やリリースするための、証明書の発行や更新。アカウントの更新対応などを行っています。 証明書といっても1つではなく、IDや複数のファイルで構成されており、なかなか経験しないと掴みにくい所ではあります。(ここも社内で興味ある人いれば共有会でもやります)
証明書発行時に紐づけがずれてしまうとコンパイル時にエラーが発生しエンジニアがハマってしまうので、うまくいかない場合には、リモートでのサポートを行ったりもします。
情報セキュリティとISMS活動支援
弊社が提供している「カビュウ」では個人情報を取り扱うため、社内の情報セキュリティ体制を強化し、ISMS(情報セキュリティマネジメントシステム)認証の取得しています。
年間の運用ポリシーの策定や従業員への意識向上活動、記録の確認など事故が起こらないようISMS運用チームで対応しています。
インシデント対応と共有
社内では決済関連からWeb3.0など様々な開発を行っており、インシデントが発生した際には迅速に対応し、その原因や対策を社内で共有しています。影響の少ない小さいミスなどでも、他部署や他のプロジェクトにおいて同じようなトラブルが再発しないよう努めています。
社外のセキュリティチェックや教育
他社のサービスのコードチェックや脆弱性テストなどを行うこともあります。 なかなか結果だけを見ても何をどこまで対応すれば良いのか分からない場合もあるため、対応方針なども一緒に相談したりします。
技術調査と暗号化の検討
頻度は多くないですが、新しい技術やツールの調査を行い、社内での活用方法を検討しています。また、個人情報を扱うサービスのセキュリティを強化するため、暗号化、複合する為のサンプルのコードの実装や支援も進めています。
社内のインシデント共有
先日、社内向けにインシデントの共有会を行ったのでその中の一部をご紹介します。
半田病院のコンピュータウイルス感染事案について
ランサムウェアって言葉をニュースなどで見たり聞いたりすることはあるかと思いますが、実際に被害に遭った場合どうなるのか想像できますか? 「自分のパソコンが使えなくなる」「バックアップを取っておけば大丈夫」「そんな大事な情報ないし」と考えている方もいるかもしれません。
2021年10月31日 徳島県つるぎ町立半田病院でランサムウェアの被害が発生した際に何が起きたのか、そしてどのように対応したのかを詳細に記した報告書が公開されています。このような報告書は非常に貴重で、普段目にする機会は少ないと思います。
さらに、病院関係者へのインタビュー動画も公開されていて、これらの資料から、「サービスやベンダーを利用する立場」、「提供する立場」「保守する立場」それぞれの視点から学べることが多いはずです。 まだご覧になっていない方は、まずは動画だけでも視聴してみてください。
また、エンジニア方には技術側の資料も公開されています。自身が担当者だったらどう対応するかを想像しながら読むと、日々の業務や改善すべきポイントが見えてくるかもしれません。ぜひ一度チェックしてみてください。
https://www.handa-hospital.jp/topics/2022/0616/index
タリーズのクレジットカード
先日、タリーズのクレジットカード情報漏洩についてを社内で共有しました。 クレジットカード決済は非常に一般的であり、世の中にあるサービスでも広く利用されています。
今回の漏洩は、ウェブサイトの一部が改ざんされたのではないか?という見方が多く、クレジットカード情報を入力するユーザが気がつくことはかなり難しいです。このような被害はリリース時に一度、セキュリティ対応をすれば大丈夫というものではなく日々のちょっとした注意を払っていないと、誰にでも被害が及ぶ可能性があります。
今回の事件を踏まえ、弊社でも他人事ではなく現在のシステムやプロセスを改めて見直し、同様の問題が発生し得るのかの確認や防止策を検討しています。
というわけで久しぶりのアドベントカレンダーでした。
テコテックの採用活動について
テコテックでは新卒採用、中途採用共に積極的に募集をしています。
採用サイトにて会社の雰囲気や福利厚生、募集内容をご確認いただけます。
ご興味を持っていただけましたら是非ご覧ください。