原标题:【专访】Line CTO:好的资安长,也要当一位称职的资安翻译官
Line执行董事兼资安长与隐私长中山刚志(Takeshi Nakayama)
图片来源:iThome
通讯软体Line公司的执行董事兼资安长与隐私长中山刚志说:「Line严格说来是一间提供资讯产品和服务的公司。」也因此,Line透过各种最新的IT技术确保Line App的安全性,以及各种Line延伸产品和服务的安全性,其实是包括中山刚志与Line这间公司全体员工最重要的职责所在。
因为,「没有安全,其余免谈。」所以,中山刚志除了透过各种方式,积极强化Line使用者的资安意识,让他们可以真正意识到,确保Line帐号的安全性,都是每一个使用者责无旁贷的使命外,该公司也积极採用各种最新、最适合Line使用者的技术,保障相关产品与技术的安全性。
以技术面来说,中山刚志表示,使用Line App的发话端和受话端使用者,不论是文字、语音甚至是影像的安全性都是最重要的。所以,Line目前为了确保使用者隐私,以及个人资料安全性,已经可以做到使用者端的讯息加密。
他进一步指出,从一对一的端点加密(E2EE)的讯息加密(Letter Sealing)功能,或者是五十个人内聊天群组的通讯安全,目前都可以做到,在使用者装置上的两端,都产生一套加密的金钥,当使用者双方开始传递讯息后,每一个对话讯息都会产生加密金钥,并且只能透过系统做金钥交换,藉此确保使用者的对话已经过金钥加密。毕竟,中山刚志表示,这个加密金钥是透过装置产生的,除非拦截加密讯息的骇客也可以从装置中取得这个加密金钥,否则,骇客是无法解密对话内容的。
中山刚志也不讳言,一刚开始只有使用者连线端到伺服器端有加密,但伺服器本身是没有加密的,即便Line再三保证,为了确保使用者的隐私,绝对不会看任何存放在Line伺服器的对话内容,但这种必须透过自由心证的作法,仍然不是终极解决之道,总是会有人质疑:「Line本身是否可以解读这些加密的内容?」
为了解除更多人对于Line确保个人通讯决心,中山刚志表示,该公司也持续精进相关的加密技术,现在则是採用LEGY(Line Event Delivery Gateway,Line讯息传送闸道器)通讯协定作为保护Line内容加密的作法。
他进一步解释,为了解决奠基在网页浏览器上HTTP的传输效率和无法多工执行的问题,Line刚开始选择使用新版的SPDY通讯协定,目的就是希望可以改善原先HTTP传输在行动装置上并不友善的问题。只不过,SPDY从社群版使用到商业版,即便一刚开始看似有成效,但最终仍旧无法满足Line每天需要传送170亿笔资料所需要的传输效率。因此,Line最后透过改写原先的SPDY通讯协定,成为Line现在使用的LEGY通讯协定。
透过LEGY通讯协定的特性,中山刚志表示,当使用者装置上的Line App连线到Line后端伺服器时,所有传输的对话资料都会先连线到LEGY闸道器,不仅可以改善原先採用SPDY通讯协定,因为资料太大量仍会产生延迟的状况外,更重要的关键在于,这些连线到LEGY闸道器的Line对话讯息,都可以先放到加密的TCP通道进行传输,不致于因为要加密通讯内容,导致网路传输速度效率不彰的现象。
资安长有义务当翻译官,把公司使命转译成安全部门听得懂的语言
在日本,几乎每一间喊得出名号的公司,都同时有资讯长以及资安长的设置,而且两者的角色与职掌并不重複也不冲突。中山刚志表示,他在Line担任执行董事的职位,也同时担任公司的资安长以及隐私长两种重要角色,所以,他说:「Line所有和资安相关、隐私与个资保护相关的工作和责任,都是他业务职掌的负责範围。」
以中山刚志而言,资安长和资讯长在公司的位阶是平行的,都是公司的C-Level管理阶层,彼此业务独立,并没有资安长在资讯长之下的问题。而他也说,Line身为一个IT公司,资安是最重要的关键要素,一旦有重要的资安议题,除了向执行长报告外,也必须主动向董事会报告。「当然,如果有重要资安议题必须要解决时,Line对于资安预算并无上限。」他说。
因为资安长的位阶和资讯长是平行的,所以,资安长的使命一定不同于资讯长。中山刚志表示,身为Line资安长兼隐私长的使命,第一优先就是必须要了解Line这间公司的使命,并且把这样的使命,转换成安全部门和全公司都听得懂得语言。
他进一步解释,Line本质就是一个拉近与现有朋友以及亲密朋友距离的通讯工具App,如何确保这样联繫之间的通讯内容与个人隐私,不会遭到其他恶意或善意第三者外洩,就是Line对于个人隐私保护与安全的实践。
在确认Line的公司使命之后,他近期最深刻的感触则是,身为公司的资安长有责任成为公司对外的翻译官,把公司面临的各种技术与营运上的资安风险和隐私保护的缺口,转换成公司资安或安全部门听得懂的内容,甚至于也应该扩及到全体员工。
中山刚志指出,资安与隐私保护往往是公司营运很远大的目标,要将这样的营运目标落实到不同部门时,往往需要依据不同部门的职掌需求,设定不同的KPI(关键绩效指标)以及工作内容。他认为,相关的工作项目如何在资安部门落地,如何设定比较具体可行的工作内容,并且要能够合乎公司未来的营运目标,「这对于许多资安长都是大考验。」他说。
要如何作为一个好的资安长,中山刚志认为,除了要担任将公司营运目标翻译成资安部门了解的语言的翻译官外,也要同步新的威胁情资,并利用各种会议与种种方式,传递情资到企业内部。
iThome Security
相关:
Line今年将新增相机趣味滤镜、聊天直播功能,智慧喇叭WAVE将于日本开卖
搭载Line旗下语音助理Clova的智慧喇叭WAVE将在秋天在日本推出。 图片来源: Line Line在日本举行2017年度发表会预告了今年将先在日本推出若干新功能,包括相机新增趣味滤镜,在聊天室可开直播。另外,人工智慧方面,
Line首度在日本总部举办一个资安高峰会,这也是该公司第一次针对Line App的各种资安保护措施,以及未来的资安应用趋势,正式对外公开相关讯息。 图片来源: Line 全台湾人手一支智慧型手机,但要问哪一个App是大家手
【专访Linux基金会物联网关键推手】纯云端运算正在终结,边缘运算崛起
Linux基金会物联网资深总监Philip DesAutels 图片来源: EdgX Foundry 今年4月,Linux基金会新成立一个物联网新专案,称为EdgeX Foundry,是继现有AllJoyn、IoTivity 、Zephyr之后第4个物联网开源专案计画,也是第一
最近生二胎的好多,娱乐圈不是要结婚就是要孩子的,喜事连连,粉丝们和网友们也是忙着送祝福呢!王栎鑫的老婆怀二胎王栎鑫爆照,现在是一家四口了呢?不过看照片也是快要生了呢?小编也要祝福王栎鑫生个健康宝宝!今
C罗梅西惺惺相惜北京时间6月1日,西班牙《马卡报》消息,在欧冠大战之前,皇马球星C罗接受了福克斯体育的专访,在他看来,自己和梅西不会在一起吃饭,但是两人的关系很好,互相尊重。C罗还谈到了对于曼联的热爱,表示