保障 Roblox 的安全：我們的安全組織如何推動創新、建立信任並實現規模化

在 Roblox，資安不僅關乎防護；更在於推動少有企業能達到的創新規模。這項理念引領我們從一支小型資安團隊，蛻變為能為全球最具活力平台之一提供動力的戰略組織。

兩年半前我加入 Roblox 時，資訊安全團隊僅有 28 人。我們擁有巨大的潛力，但當時仍在證明：安全團隊可以是合作夥伴，而非阻礙者。我記得參加我們第一次事後檢討會議的情景。討論的重點並非某個單一的技術失誤，而是「摩擦」。 當工程團隊向我們闡述其工作流程時，真相逐漸明朗。該事件並非源於疏忽，而是系統中的漏洞所致——流程中某個環節缺乏安全專業知識。就在那一刻，我意識到我們的角色不僅是預防事件發生，更在於將安全措施融入各團隊的工作流程，賦予他們力量，讓他們能大膽開發並自信地交付成果。

那一刻標誌著轉捩點。我們明白必須從被動的管控，轉變為主動且具戰略性的安全措施，並將其融入 Roblox 的開發與擴展模式中。如今，我們的資訊安全組織不僅止於守護系統：我們更奠定基礎，協助開發者快速行動，同時在全球範圍內贏得並維持用戶的信任。

建立公信力與動能：最初的 2.5 年

初期，我們專注於透過持續現身、解決關鍵問題，並將安全措施嵌入開發生命週期來建立信任。我主導的最具影響力的工作之一，便是 Web 應用程式防火牆（WAF）的轉型。我們將其從基礎工具，發展成保護所有對外服務的堅實防護層。透過自動化、測試環境驗證以及智慧規則部署，我們建立了一套既有效又對工程師而言無感的管控機制。

這種「預設安全，而非透過摩擦實現安全」的思維，成為我們在完善威脅建模、建立可擴展的審查流程，並在產品決策中贏得一席之地的過程中，所遵循的核心原則。

參與這段旅程讓我領悟到，資安不僅關乎防護；更在於如何在規模化運作中激發創意與信心。看著團隊從 28 人成長至 100 多人，同時透過創新與協作創造實質影響，這無疑是我職涯中最令人滿足的經歷之一。

認識幕後團隊

隨著我們的願景不斷拓展，組織架構也隨之擴展。如今，我們擁有超過 100 名資安工程師、分析師及領導者，分屬多個專責部門，這些部門的設置反映了我們不斷演進的使命。我很榮幸向各位介紹推動這項擴展的幾個關鍵團隊： 

偵測與應對 (DART)

負責維護 Roblox 系統與資料的機密性、完整性及可用性。DART 涵蓋安全運作、事件應變、偵測工程、威脅情報、自動化、攻擊性安全及數位鑑識等部門。此團隊不僅能主動識別並應對新興威脅，更能確保我們的平台在擴展時維持安全。

• 近期成果：建置了由人工智慧驅動的自動化系統，用以協調跨多個工作流程的事件應變，將營運阻礙降至最低，並讓團隊能專注於關鍵的解決任務。

平台安全

負責保障我們的網路、雲端、生產環境 IAM 及混合基礎架構的安全。該團隊提供可擴展的功能，例如預設安全模式的 Kubernetes 範本、機密管理以及細粒度存取控制。

• 影響力：過去一年間，團隊交付了高效能且可擴展的平台，涵蓋即時密鑰生成與撤銷、自助式細粒度授權、安全的生產環境存取介面，以及基於 eBPF 的網路分段。這些能力使 Roblox 得以快速擴展，同時不增加社群面臨的風險。

治理、風險與合規 (GRC)

透過「風險優先、數據驅動」的方法，強化企業安全，涵蓋政策制定、供應商風險管理、AI 審查及控制驗證。GRC 賦能每位開發者做出明智決策，同時加速安全創新。

• 重點：透過自動化顯著加速供應商安全審查流程，大幅縮短典型處理週期，使團隊能更迅速地推進工作。

企業安全

專注於企業身分識別、端點防護、SaaS 安全，以及第三方支援人員的安全性。

• 成效：在員工驗證流程中導入裝置健康檢查，推動全公司達到高水準的合規性。

應用程式安全

處於工程與安全的交匯點，透過審查、工具及 CI/CD 自動化（包括安全程式碼掃描、強化容器及供應鏈完整性）實現安全開發。

• 創新：推出基於機器學習的 WAF 規則生成工作流程，該流程分析 Roblox 特有的流量模式以過濾雜訊、偵測攻擊與格式錯誤的請求，並自動生成針對特定應用程式與服務的白名單規則。

全球安全

在全球範圍內提供實體與數位安全服務。全球安全運作中心 (GSOC) 全年無休運作，負責管理威脅、協調事件處理，並為大型活動提供安全保障。

• 重點：成功保障 2024 年 Roblox 開發者大會（RDC）的安全，為橫跨多個場地的數千名與會者管理安全事宜。

隱私工程

開發用於可擴展隱私合規的工具與基礎架構。運用 AI 自動化資料分類、生成合規代碼並減少人工工作量，支援 GDPR、CCPA 及內部治理工作。

• 近期成果：推出用於自動化隱私影響評估（PIA）的集中式系統，縮短審查週期，並支援快速變動的團隊進行可擴展的隱私審查。

Roblox 安全措施的獨特之處

鮮少有企業能達到 Roblox 的規模：在全球平台上擁有數千萬日活躍用戶，採用混合式本地與雲端基礎架構，產品迭代節奏快速，並擁有充滿活力的開發者生態系。

面對如此複雜的環境，傳統的安全模型勢必會失敗。正因如此，我們秉持著不同的核心信念：安全不應僅止於保護，更應成為加速器。我們透過賦能文化實現此目標，讓每位工程師都能成為力量倍增器。與其採用一刀切的流程，我們的運作模式更講求靈活性與夥伴關係。 我們透過提供自動化防護措施與日常開發所需的自助工具，讓團隊能夠快速行動；同時將深度且親力親為的合作，保留給最複雜且高風險的功能開發。這種整體方法具有前瞻性，因為我們致力於融入公司各層級的規劃與構思週期，協助團隊從一開始就將安全性內建於系統之中。

這種自動化與夥伴關係的平衡，賦予工程師不僅能提出疑慮，更能推動改進的自主權，從而促進各層級的賦能。

以達成每日 10 億活躍用戶為目標，我們的工作涵蓋保護即時互動、保障用戶生成內容的安全，以及支援 3D 模擬、人工智慧與數位經濟領域的創新。這些挑戰要求我們不斷開創新方法，從可擴展的安全審查系統、基於機器學習的威脅偵測，到隱私自動化與以開發者為先的安全防護機制。

我們不僅是與時俱進；我們更在開創未來。這正是 Roblox 安全體系與眾不同之處。

與我們共同開創

我們已奠定堅實基礎，但最令人振奮的挑戰仍在前方。從推動負責任的人工智慧大規模應用，到強化身分保護及開發者優先的安全工具，我們致力於在全球層面重塑現代安全的樣貌。

若您渴望解決實際問題、發揮影響力並協助塑造網路的未來，我們誠摯邀請您加入我們。 

讓我們攜手共創安全未來的藍圖。