Line執行董事兼資安長與隱私長中山剛志(Takeshi Nakayama)

圖片來源: 

iThome

通訊軟體Line公司的執行董事兼資安長與隱私長中山剛志說:「Line嚴格說來是一間提供資訊產品和服務的公司。」也因此,Line透過各種最新的IT技術確保Line App的安全性,以及各種Line延伸產品和服務的安全性,其實是包括中山剛志與Line這間公司全體員工最重要的職責所在。

因為,「沒有安全,其餘免談。」所以,中山剛志除了透過各種方式,積極強化Line使用者的資安意識,讓他們可以真正意識到,確保Line帳號的安全性,都是每一個使用者責無旁貸的使命外,該公司也積極採用各種最新、最適合Line使用者的技術,保障相關產品與技術的安全性。

以技術面來說,中山剛志表示,使用Line App的發話端和受話端使用者,不論是文字、語音甚至是影像的安全性都是最重要的。所以,Line目前為了確保使用者隱私,以及個人資料安全性,已經可以做到使用者端的訊息加密。

他進一步指出,從一對一的端點加密(E2EE)的訊息加密(Letter Sealing)功能,或者是五十個人內聊天群組的通訊安全,目前都可以做到,在使用者裝置上的兩端,都產生一套加密的金鑰,當使用者雙方開始傳遞訊息後,每一個對話訊息都會產生加密金鑰,並且只能透過系統做金鑰交換,藉此確保使用者的對話已經過金鑰加密。畢竟,中山剛志表示,這個加密金鑰是透過裝置產生的,除非攔截加密訊息的駭客也可以從裝置中取得這個加密金鑰,否則,駭客是無法解密對話內容的。

中山剛志也不諱言,一剛開始只有使用者連線端到伺服器端有加密,但伺服器本身是沒有加密的,即便Line再三保證,為了確保使用者的隱私,絕對不會看任何存放在Line伺服器的對話內容,但這種必須透過自由心證的作法,仍然不是終極解決之道,總是會有人質疑:「Line本身是否可以解讀這些加密的內容?」

為了解除更多人對於Line確保個人通訊決心,中山剛志表示,該公司也持續精進相關的加密技術,現在則是採用LEGY(Line Event Delivery Gateway,Line訊息傳送閘道器)通訊協定作為保護Line內容加密的作法。

他進一步解釋,為了解決奠基在網頁瀏覽器上HTTP的傳輸效率和無法多工執行的問題,Line剛開始選擇使用新版的SPDY通訊協定,目的就是希望可以改善原先HTTP傳輸在行動裝置上並不友善的問題。只不過,SPDY從社群版使用到商業版,即便一剛開始看似有成效,但最終仍舊無法滿足Line每天需要傳送170億筆資料所需要的傳輸效率。因此,Line最後透過改寫原先的SPDY通訊協定,成為Line現在使用的LEGY通訊協定。

透過LEGY通訊協定的特性,中山剛志表示,當使用者裝置上的Line App連線到Line後端伺服器時,所有傳輸的對話資料都會先連線到LEGY閘道器,不僅可以改善原先採用SPDY通訊協定,因為資料太大量仍會產生延遲的狀況外,更重要的關鍵在於,這些連線到LEGY閘道器的Line對話訊息,都可以先放到加密的TCP通道進行傳輸,不致於因為要加密通訊內容,導致網路傳輸速度效率不彰的現象。

資安長有義務當翻譯官,把公司使命轉譯成安全部門聽得懂的語言

在日本,幾乎每一間喊得出名號的公司,都同時有資訊長以及資安長的設置,而且兩者的角色與職掌並不重複也不衝突。中山剛志表示,他在Line擔任執行董事的職位,也同時擔任公司的資安長以及隱私長兩種重要角色,所以,他說:「Line所有和資安相關、隱私與個資保護相關的工作和責任,都是他業務職掌的負責範圍。」

以中山剛志而言,資安長和資訊長在公司的位階是平行的,都是公司的C-Level管理階層,彼此業務獨立,並沒有資安長在資訊長之下的問題。而他也說,Line身為一個IT公司,資安是最重要的關鍵要素,一旦有重要的資安議題,除了向執行長報告外,也必須主動向董事會報告。「當然,如果有重要資安議題必須要解決時,Line對於資安預算並無上限。」他說。

因為資安長的位階和資訊長是平行的,所以,資安長的使命一定不同於資訊長。中山剛志表示,身為Line資安長兼隱私長的使命,第一優先就是必須要了解Line這間公司的使命,並且把這樣的使命,轉換成安全部門和全公司都聽得懂得語言。

他進一步解釋,Line本質就是一個拉近與現有朋友以及親密朋友距離的通訊工具App,如何確保這樣聯繫之間的通訊內容與個人隱私,不會遭到其他惡意或善意第三者外洩,就是Line對於個人隱私保護與安全的實踐。

在確認Line的公司使命之後,他近期最深刻的感觸則是,身為公司的資安長有責任成為公司對外的翻譯官,把公司面臨的各種技術與營運上的資安風險和隱私保護的缺口,轉換成公司資安或安全部門聽得懂的內容,甚至於也應該擴及到全體員工。

中山剛志指出,資安與隱私保護往往是公司營運很遠大的目標,要將這樣的營運目標落實到不同部門時,往往需要依據不同部門的職掌需求,設定不同的KPI(關鍵績效指標)以及工作內容。他認為,相關的工作項目如何在資安部門落地,如何設定比較具體可行的工作內容,並且要能夠合乎公司未來的營運目標,「這對於許多資安長都是大考驗。」他說。

要如何作為一個好的資安長,中山剛志認為,除了要擔任將公司營運目標翻譯成資安部門了解的語言的翻譯官外,也要同步新的威脅情資,並利用各種會議與種種方式,傳遞情資到企業內部。

熱門新聞

Advertisement