以技术、文化、人为主轴，Line提出全面向资安

近年来，Line的版图不断扩增，不仅是整合行动支付、购物、新闻与通讯的平台，到去年又聚焦在AI应用与Line Bank等的发展，而该公司的资安策略也同样持续扩张，今年提出更全面的新战略，目的是要建立用户对他们的信任。

事实上，过去Line就已经时常公布其资安作为，例如，内部重视安全软件开发生命周期（SSDLC），近年并将机器学习用于防护情境，还有像是揭露BITBOX加密货币交易所的资安架构等，在在说明了他们是如何做好企业内部防护，以及产品与服务的资安防护。

特别的是，今年他们提出了全新的资安战略Omnidirectional cyber security（暂译为全面向资安），该公司资安团队资深经理市原尚久指出，这是以技术、文化与人为核心主轴，可归纳他们在资安作为上的10个重点，举例来说，当中包括：技术面的安全开发、Security by Design、主动式防御与自动化协作；文化面的快速安全、外部沟通、开放性与资安品牌推广；以及人员面的资安技能开发与研究。

为何新的资安策略要这样画分？市原尚久解释，为了让用户能放心使用他们提供的服务，赢得用户的信任是关键，但由于Line渐成为社会上重要的基础设施服务，因此，他们需要建立多个全面向的资安，他并认为要尝试挑战所有可能性，才能实现到此一目标。

显然，这10大项目，不只是突显了他们所专注发展的资安层面，他们并期望在这样的防护策略下，可以让他们的资安防护作为，带给用户更多信任。

强化用户登入安全持续成为Line技术重点，明年FIDO登入场景更多

除了提出全新的资安策略规划，Line在资安布局上有何新动作？首先，强化网络服务登入安全，是他们在今年开发者大会强调的一大重点。

在市原尚久说明他们的安全开发（Security Development）时，不仅特别提到此事，事实上，今年大会上有不少主题演讲，都是围绕于这个议题。

在安全开发的推动上，Line资安团队的具体作为，市原尚久指出四个重点，包括防堵账号滥用与全程加密（E2EE），改善登入、隐私控管，这两者过去他们已经经常提及，今年，他们强调了两项新的重点，分别是关于密码方面的FIDO登入机制的正式登场，以及用户端行动安全的新进展。

以Line在登入机制的发展而言，他们先前就有不少着墨，包括符合OAuth规范，以及Open ID验证规范，后续也发展无密码Passwordless登入──包括在PC上使用QRCode登入，以及在Line内建浏览器开启Line Store等网页可自动登入的机制。

而为了全力强化身份安全，支援FIDO应用是他们最新的成果，现在他们已经成功踏出第一步。在今年11月，他们的FIDO生物识别正式推出，成为新的无密码登入方式，跟上国际潮流，他们首先开放的是iPad版Line的登入支援，让用户可将手机当作认证器，利用手机上的生物辨识以验证登入，明年应用将会更扩大，像是提供于Mac与Window版的登入情境。

然而，在安全开发需要关注的技术并不仅于此，另一位资深工程师安相焕点出3个技术焦点，分别是加密、FIDO2与HSM的应用，其中，加密模组包含了可信赖执行环境（TEE）与白箱加密法（WBC）。他表示，尽管多数智能手机内含TEE，包括像是Arm的Trustzone、Android硬件支援的密钥库，以及Apple的Secure Enclave，但两大操作系统平台的种种差异，让他们在跨平台行动安全的发展，遇到很多挑战。

因此，他们也同时关注白箱加密技术，而对于行动装置上的生物识别应用，他们也提到实作上应该尽可能遵守安全标准，而FIDO就是关键，他们也已经导入。另外，他并提到需要某种密钥证明机制，也就是要确保密钥是由合法客户端的TEE产生。

此外，本次开发者大会还有两场主题演讲，其中之一，是专门介绍Line的生物识别启用流程，另一场则是以Line登入平台过去存在4个安全弱点的经验，说明开发上的错误将面临何种威胁，并提供安全开发的建议。

显然，在登入相关的安全开发，是今年大会在技术面特别聚焦的主轴，而他们的FIDO应用也已经有了初步的成果，他们目前仍在持续建置，明年将能适用于更多情境，提供用户新的安全登入方式。

在今年开发者大会上，Line在资安上的焦点特别着重在登入机制的强化，尤其是他们建置FIDO后在今年正式开始应用，提供更安全简便的无密码登入方式，明年还会有更多登入场景能够支援FIDO。

要将快速制定决策变成一种文化，才能让资安应变够即时

要做好资安不只是从技术面着手，为了强化Line的资安，市原尚久指出，若能建立文化，将可为资安创造价值，而今年他提到一个不同于以往的观点，就是要建立快速且安全的文化。

过去Line举办了Becks资安社群聚会，以及Line与Intertrust资安高峰会，其实可以看出他们想要将资安带动到外界成为一股潮流，但这次提出的快速与安全，目标则是对内的资安决策过程。

市原尚久指出，Line除了追求安全性，但同时也专注于速度，这是他们真正关注的文化之一，例如，当发现漏洞或事件发生后，他们会迅速进行调查以修复错误，若是大型系统，则会花较长时间才能决定发布修补版本。

他并以今年两起Line发生的实际案例，来说明资安决策过程要快的重要性。在今年9月，Line发现他们在7月到9月间，侦测到有7万4千个Line账号，有未经授权存取的状况，这起事件他们在9月9日发现异常，经过3天的调查，确认影响范围后，他们在9月12日就针对受影响用户进行密码重设。

但其实，他们在9月10日，就已经开始讨论重置密码的利弊，当下他们几乎就做出了强制重置密码的决定，因此才能在调查一完成，就采取紧急行动来强制重置密码。

另一起事件，是在今年2月初武汉肺炎疫情影响全球之时，他们很快就决定要远端工作，并在2月14日就向员工宣布，而他们在接下来的12天期间建立零信任的VPN环境。

因此，快速决定为资安应变带来的优势，是Line所相当看重的一环，而他们更将此视为内部的资安文化。

将资安技能深化到每个员工，正式提供专用的线上学习平台

强化资安还能怎么做？人也是不可忽略的重要因素，因此，在Line的资安策略当中，今年他们提到另一个新扩展的重点，就是在资安技能开发一项。

Line在去年分享资安经验时，透露他们在2019年下半，打造企业内专用的SEP资安教育平台，在这次大会上，市原尚久公开宣布了他们的企业资安线上学习平台上线，名为Line Class。

这个平台有何特殊之处？市原尚久表示，这是由Line资安部门工程师自行开发，期望透过专属的电子学习系统，以及线上课程，提升自家资安工程师与所有软件开发人员的资安技能。而这么做的好处，就是希望要尽早发现资安漏洞问题，减少在开发周期的后段才发现的状况，避免在验证阶段耗费过多人力，甚至可能影响服务无法准时上线。

为了强化资安，Line今年打造了新的企业资安线上学习平台Line Class，当中提供了针对开发人员设计的各式课程与测验，并且也有关于基础架构安全方面的实作训练。

市原尚久指出，Line Class平台可让他们的开发人员，能够定期学习资安并参加考试与课程。在他们规划的课程中，并设有自修室，当开发人员不了解某些主题时，就可利用从中了解技术与漏洞并测试。同时，他也提到，平台上也提供了一般员工适用的资安培训课程与测验。

而从市原尚久展示的Line Class界面，我们可以看到该平台的课程类别画分，包含资讯安全、网页安全、App安全、算法与进阶威胁意识，而以网页安全的线上课程为例，当中包含SQL Injection、Path Traversal等8个初级课程，以及XSS、CSRF等3个中级课程，以及SSRF的进阶课程。

而且，Line的资安培训内容还深入基础架构安全的主题，他们提供了这方面的实作训练，内容包括虚拟私有云、网络存取控制清单，还有像是Kubernetes Cluster、ELK等。市原尚久指出，新到职的基础设施安全工程师，将可从他们提供的专属课程内容动手学习，以获取基本的基础设施安全技能，而这些资讯随时都可以使用，如同线上课程学习一样。

他认为，要做好企业资安，工程师的资安技能开发也是重要一环，而Line在今年也正式推出Line Class这样的自助式学习平台。因此，他们不只是像过去强调要在设计阶段考量安全、Security by Design，现在他们更是从人的面向着手，让一般开发人员对于资安技能都要有所提升。据了解，这个训练平台未来也将提供中文版内容。

从上述Line的资安策略来看，他们希望将资安深入更多面向与细节，最终目的，就是希望要让用户能够信任他们的服务。尤其是他们将资安的文化与人员，看得如同技术一般重要。

此外，在其他安全作为上，Line也有新进展值得关注，例如，在主动式防御的部分，他们针对混合多云环境设计安全架构，以及建构安全可靠的SSL凭证管理，特别的是，在主机安全强化上，他们过去已有采用入侵侦测系统HIDS，今年，他们则针对日本地区的主机进行大规模布署，安装规模是去年3.5倍。

 相关报导  Line 2021技术新战略