セキュリティ会の取り組み

この記事は、はてなエンジニアアドベントカレンダー2016の3日目の記事です。昨日は id:nanto_vi による
CSS の -webkit-line-clamp プロパティについて: Days on the Moon でした。
こんにちは、はてなでチーフエンジニアをしている id:wtatsuru です。この記事では、はてな技術グループのサブ会の一つ、セキュリティ会について紹介します。サブ会を始めとするはてな技術グループの取り組み全体については、先日の id:motemen の記事で詳しく紹介しております。
はてなの技術組織2016 - Hatena Developer Blog

セキュリティ会とは

セキュリティ会とは、セキュリティインシデントを防ぐことを目的とする技術グループのサブ会です。各分野からメンバを集め、セキュリティ情報への素早い対応および社内のセキュリティ意識向上を目的としています。技術グループでは、以前からセキュリティ担当を置いてチェックする体制をとっていました。しかし、組織が大きくなる中でスピード感や安定運用という点に課題が出てきたため、活動リソースを確保した組織として形を作り運用しはじめました。

セキュリティ関連情報のチェック

セキュリティ関連の情報は、毎日数多く報告されています。セキュリティ会では、インフラ、サーバサイドアプリケーション、スマートフォン、フロントエンド、社内システム担当など、各分野のエンジニアがこれらを網羅的にチェックし、知見を共有しています。メンバがいるSlackチャンネルに各種フィードが流れるようになっており、すぐに確認および必要であれば社内のGithubEnterpriseへのIssue化や、全社員向けの注意喚起を行います。
情報源としてはJVNなどセキュリティ系のRSSを用いたり、RSSがないサイトも大チェッカーのHTML購読からの通知を用い、Slack通知に集約しています。また、特定ライブラリの情報などはブログに書かれることもあるため、そういった情報は各分野のエンジニアでカバーしあっています。

社内への周知

社内への周知を、社内のはてなグループのエントリ上で、週次・月次の二段階で行っています。
社内の全エンジニア向けには、週次でセキュリティ情報を共有しています。社内的に直接的に関係ない情報も含め、技術的な情報は速報として全エンジニアに周知することで知識の共有と注意喚起を行います。毎週の社内勉強会 でも採り上げられて盛り上がることもあります。
また、月次で全社員に向けて共有を行っています。全社員向けの周知は頻度を挙げすぎると読まれない可能性があるため、頻度を下げつつ内容を重視したものとしています。週次のエントリで採り上げた技術ネタに加え、セキュリティ的なトレンドや気をつけるポイントなど、各自の分野でホットな話題があれば読み物として解説しています。最近のトピックを下記にいくつか取り上げます。

おわりに

上記の通常活動以外にも、セキュリティ関連規定策定の際の技術レビューやセキュリティ系相談・提案など、社内のセキュリティレベルを高める取り組みを行っております。今後も継続的に改善していこうと思っておりますので、セキュリティに配慮したサービス作りに興味のある方は、ぜひはてなに応募してください。一緒に改善していきましょう。

また、もしはてなのサービスに関してセキュリティ上の懸念点や問題を発見された場合は、セキュリティ窓口を設けておりますので、下記までお知らせください。
セキュリティに関するお問い合わせ - Hatena Developer Center
アドベントカレンダー、明日は id:y_uuki です!