以技術、文化、人為主軸，Line提出全面向資安

近年來，Line的版圖不斷擴增，不僅是整合行動支付、購物、新聞與通訊的平臺，到去年又聚焦在AI應用與Line Bank等的發展，而該公司的資安策略也同樣持續擴張，今年提出更全面的新戰略，目的是要建立用戶對他們的信任。

事實上，過去Line就已經時常公布其資安作為，例如，內部重視安全軟體開發生命週期（SSDLC），近年並將機器學習用於防護情境，還有像是揭露BITBOX加密貨幣交易所的資安架構等，在在說明了他們是如何做好企業內部防護，以及產品與服務的資安防護。

特別的是，今年他們提出了全新的資安戰略Omnidirectional cyber security（暫譯為全面向資安），該公司資安團隊資深經理市原尚久指出，這是以技術、文化與人為核心主軸，可歸納他們在資安作為上的10個重點，舉例來說，當中包括：技術面的安全開發、Security by Design、主動式防禦與自動化協作；文化面的快速安全、外部溝通、開放性與資安品牌推廣；以及人員面的資安技能開發與研究。

為何新的資安策略要這樣畫分？市原尚久解釋，為了讓用戶能放心使用他們提供的服務，贏得用戶的信任是關鍵，但由於Line漸成為社會上重要的基礎設施服務，因此，他們需要建立多個全面向的資安，他並認為要嘗試挑戰所有可能性，才能實現到此一目標。

顯然，這10大項目，不只是突顯了他們所專注發展的資安層面，他們並期望在這樣的防護策略下，可以讓他們的資安防護作為，帶給用戶更多信任。

強化用戶登入安全持續成為Line技術重點，明年FIDO登入場景更多

除了提出全新的資安策略規畫，Line在資安布局上有何新動作？首先，強化網路服務登入安全，是他們在今年開發者大會強調的一大重點。

在市原尚久說明他們的安全開發（Security Development）時，不僅特別提到此事，事實上，今年大會上有不少主題演講，都是圍繞於這個議題。

在安全開發的推動上，Line資安團隊的具體作為，市原尚久指出四個重點，包括防堵帳號濫用與全程加密（E2EE），改善登入、隱私控管，這兩者過去他們已經經常提及，今年，他們強調了兩項新的重點，分別是關於密碼方面的FIDO登入機制的正式登場，以及用戶端行動安全的新進展。

以Line在登入機制的發展而言，他們先前就有不少著墨，包括符合OAuth規範，以及Open ID驗證規範，後續也發展無密碼Passwordless登入──包括在PC上使用QRCode登入，以及在Line內建瀏覽器開啟Line Store等網頁可自動登入的機制。

而為了全力強化身分安全，支援FIDO應用是他們最新的成果，現在他們已經成功踏出第一步。在今年11月，他們的FIDO生物識別正式推出，成為新的無密碼登入方式，跟上國際潮流，他們首先開放的是iPad版Line的登入支援，讓用戶可將手機當作認證器，利用手機上的生物辨識以驗證登入，明年應用將會更擴大，像是提供於Mac與Windows版的登入情境。

然而，在安全開發需要關注的技術並不僅於此，另一位資深工程師安相煥點出3個技術焦點，分別是加密、FIDO2與HSM的應用，其中，加密模組包含了可信賴執行環境（TEE）與白箱加密法（WBC）。他表示，儘管多數智慧型手機內含TEE，包括像是Arm的Trustzone、Android硬體支援的密鑰庫，以及Apple的Secure Enclave，但兩大作業系統平臺的種種差異，讓他們在跨平臺行動安全的發展，遇到很多挑戰。

因此，他們也同時關注白箱加密技術，而對於行動裝置上的生物識別應用，他們也提到實作上應該盡可能遵守安全標準，而FIDO就是關鍵，他們也已經導入。另外，他並提到需要某種密鑰證明機制，也就是要確保密鑰是由合法客戶端的TEE產生。

此外，本次開發者大會還有兩場主題演講，其中之一，是專門介紹Line的生物識別啟用流程，另一場則是以Line登入平臺過去存在4個安全弱點的經驗，說明開發上的錯誤將面臨何種威脅，並提供安全開發的建議。

顯然，在登入相關的安全開發，是今年大會在技術面特別聚焦的主軸，而他們的FIDO應用也已經有了初步的成果，他們目前仍在持續建置，明年將能適用於更多情境，提供用戶新的安全登入方式。

在今年開發者大會上，Line在資安上的焦點特別著重在登入機制的強化，尤其是他們建置FIDO後在今年正式開始應用，提供更安全簡便的無密碼登入方式，明年還會有更多登入場景能夠支援FIDO。

要將快速制定決策變成一種文化，才能讓資安應變夠即時

要做好資安不只是從技術面著手，為了強化Line的資安，市原尚久指出，若能建立文化，將可為資安創造價值，而今年他提到一個不同於以往的觀點，就是要建立快速且安全的文化。

過去Line舉辦了Becks資安社群聚會，以及Line與Intertrust資安高峰會，其實可以看出他們想要將資安帶動到外界成為一股潮流，但這次提出的快速與安全，目標則是對內的資安決策過程。

市原尚久指出，Line除了追求安全性，但同時也專注於速度，這是他們真正關注的文化之一，例如，當發現漏洞或事件發生後，他們會迅速進行調查以修復錯誤，若是大型系統，則會花較長時間才能決定發布修補版本。

他並以今年兩起Line發生的實際案例，來說明資安決策過程要快的重要性。在今年9月，Line發現他們在7月到9月間，偵測到有7萬4千個Line帳號，有未經授權存取的狀況，這起事件他們在9月9日發現異常，經過3天的調查，確認影響範圍後，他們在9月12日就針對受影響用戶進行密碼重設。

但其實，他們在9月10日，就已經開始討論重置密碼的利弊，當下他們幾乎就做出了強制重置密碼的決定，因此才能在調查一完成，就採取緊急行動來強制重置密碼。

另一起事件，是在今年2月初武漢肺炎疫情影響全球之時，他們很快就決定要遠端工作，並在2月14日就向員工宣布，而他們在接下來的12天期間建立零信任的VPN環境。

因此，快速決定為資安應變帶來的優勢，是Line所相當看重的一環，而他們更將此視為內部的資安文化。

將資安技能深化到每個員工，正式提供專用的線上學習平臺

強化資安還能怎麼做？人也是不可忽略的重要因素，因此，在Line的資安策略當中，今年他們提到另一個新擴展的重點，就是在資安技能開發一項。

Line在去年分享資安經驗時，透露他們在2019年下半，打造企業內專用的SEP資安教育平臺，在這次大會上，市原尚久公開宣布了他們的企業資安線上學習平臺上線，名為Line Class。

這個平臺有何特殊之處？市原尚久表示，這是由Line資安部門工程師自行開發，期望透過專屬的電子學習系統，以及線上課程，提升自家資安工程師與所有軟體開發人員的資安技能。而這麼做的好處，就是希望要盡早發現資安漏洞問題，減少在開發周期的後段才發現的狀況，避免在驗證階段耗費過多人力，甚至可能影響服務無法準時上線。

為了強化資安，Line今年打造了新的企業資安線上學習平臺Line Class，當中提供了針對開發人員設計的各式課程與測驗，並且也有關於基礎架構安全方面的實作訓練。

市原尚久指出，Line Class平臺可讓他們的開發人員，能夠定期學習資安並參加考試與課程。在他們規畫的課程中，並設有自修室，當開發人員不了解某些主題時，就可利用從中了解技術與漏洞並測試。同時，他也提到，平臺上也提供了一般員工適用的資安培訓課程與測驗。

而從市原尚久展示的Line Class介面，我們可以看到該平臺的課程類別畫分，包含資訊安全、網頁安全、App安全、演算法與進階威脅意識，而以網頁安全的線上課程為例，當中包含SQL Injection、Path Traversal等8個初級課程，以及XSS、CSRF等3個中級課程，以及SSRF的進階課程。

而且，Line的資安培訓內容還深入基礎架構安全的主題，他們提供了這方面的實作訓練，內容包括虛擬私有雲、網路存取控制清單，還有像是Kubernetes Cluster、ELK等。市原尚久指出，新到職的基礎設施安全工程師，將可從他們提供的專屬課程內容動手學習，以獲取基本的基礎設施安全技能，而這些資訊隨時都可以使用，如同線上課程學習一樣。

他認為，要做好企業資安，工程師的資安技能開發也是重要一環，而Line在今年也正式推出Line Class這樣的自助式學習平臺。因此，他們不只是像過去強調要在設計階段考量安全、Security by Design，現在他們更是從人的面向著手，讓一般開發人員對於資安技能都要有所提升。據了解，這個訓練平臺未來也將提供中文版內容。

從上述Line的資安策略來看，他們希望將資安深入更多面向與細節，最終目的，就是希望要讓用戶能夠信任他們的服務。尤其是他們將資安的文化與人員，看得如同技術一般重要。

此外，在其他安全作為上，Line也有新進展值得關注，例如，在主動式防禦的部分，他們針對混合多雲環境設計安全架構，以及建構安全可靠的SSL憑證管理，特別的是，在主機安全強化上，他們過去已有採用入侵偵測系統HIDS，今年，他們則針對日本地區的主機進行大規模布署，安裝規模是去年3.5倍。

 相關報導  Line 2021技術新戰略