ヤフーのセキュリティに対する取り組みについて 第1回目

こんにちは、R＆D統括本部 開発推進室 セキュリティプラットフォーム技術の戸田　薫です。ヤフーのサービスのセキュリティを担当しています。
Yahoo! Inc のセキュリティチームは「パラノイド」と呼ばれていますが、ヤフー(Yahoo! JAPAN)におけるパラノイドは、セキュリティプラットフォーム技術というチームになります。

写真：セキュリティーチーム（左 小林　聖、中央 筆者、右 森田　政幸）

ヤフーのサービスのセキュリティに対する取り組みやセキュリティプラットフォーム技術というチームについてご紹介します。

ヤフーは何を守っているのか？

ヤフーでは、さまざまなサービスを提供しています。その中には、プライバシーやお金にかかわるものもあります。そのため、お客様やパートナー企業に対して、安心・信頼してご利用いただける安全なサービスを提供する必要があります。

例えば、下記のものを守っていかなければなりません。

• お客様の個人情報やプライバシーなど
• パートナー企業との信頼関係やコンテンツ
• ヤフー自身

情報漏えい対策

ヤフーでは、扱っている情報を社外へ漏えいしないためにさまざまな対策を実施しています。

ヤフーで行っている対策の例です。

• 社外から外付けデバイスを持ち込んでもパソコンに接続できません
• 社外から持ち込んだパソコンは社内ネットワークに接続できません
• クライアントパソコンの監視
• 社内から社外へのネットワークトラフィックの監視
• お客様の個人情報を扱うためのセキュリティエリア
• 基本ソフト(OS)・ソフトウエアのカスタマイズ
• セキュリティ対策ライブラリの開発

セキュリティプラットフォーム技術の取り組み

セキュリティプラットフォーム技術は、サービスのアプリケーションレイヤーのセキュリティを担当しています。

いくつかの取り組みの例を挙げます。

• セキュリティ対策ライブラリ・プラットフォーム・ツールの開発
• ヤフーネットワークのセキュリティスキャン
• 仕様レビュー
• コードレビュー
• セキュリティチェックリスト
• CSIRT(Computer Security Incident Response Team)/セキュリティインシデントハンドリング
• 教育 セキュリティセミナー

アプリケーションのセキュリティ対策

アプリケーションを開発するときには、既知の脆弱性を意識して行わなければなりません。
ウェブアプリケーションでは、下記のよく知られた脆弱性があります。

• XSS(クロスサイトスクリプティング)
• CSRF(クロスサイトリクエストフォージェリ)
• SQLインジェクション
• コマンドインジェクション
• httpヘッダインジェクション
• パストラバース

ヤフーでは、それらの脆弱性を意識した開発を行っています。

次回へ

次回は、アプリケーションのセキュリティ対策をもう少し具体的に説明していきますのでご期待ください！