概要

「グリー開発本部 Meetup #4 フルスタックセキュリティ」に参加して思ったこと。

https://gree.connpass.com/event/124994/

感想

セキュリティ部署の守備範囲

事業横断部署である開発本部の中にあって、技術の話だけではなくポリシーやガバナンスまでをひとつの部署で面倒見ているとのこと。

立ち位置的に部署として(人数が少ないのなら各個人としても)技術面でフルスタックにならざるをえないだろうという感じだけど、ビジネスレイヤーまで同じ部署で面倒見るというのは珍しいかもしれない。一緒にしたほうがポリシーの策定とその実装で責任が分散しなくていいんじゃないかなと思う反面、大きめのインシデントが発生すると法務や広報などのバックオフィスとの連携が必要になったりもするので、一長一短か。実際、分離していた期間もあったみたい。

社内での脆弱性診断

自社アプリの脆弱性診断を社内でやっている、という話について。

脆弱性診断って(診断そのものももちろん大事だけど)第三者のお墨付きをもらうことに意味があると思っていて、自分の中では決め手になるようなメリットが見いだせていない(QAの一貫として、というのはあるかもしれないけど、QAチームは別にあるっぽい)。グリーの方としては「フットワーク軽く実施できること」にメリットがあると考えているみたい。確かに外注と比べれば手間もお金もかからないというのはその通りで、スピード以外のメリットとか、スキームとか、懇親会でもう少し深い話聞けたらよかったんだけど、いそいそと帰ってきてしまった。

実際の求人内容

https://jobs.forkwell.com/GREE/jobs/4481

「お任せしたい業務」の多様さよ。色々挑戦できて楽しそうだ。

その他

スピーカーの方が「CANバスハッキングをやりたいがために車を買った」とおっしゃってたのが衝撃だった。