Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録

ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録

# サマリ
ジョーシス主催「ジョーシス ラーニング」に登壇した際の資料
https://jp.josys.com/seminar/20230302

タイトルは「ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録」

# 補足
以下のセミナーの中でジョーシス / Netskopeのユーザー企業として、苦労した点や工夫した点を整理して話をさせていただきました。
---
本セミナーでは、新しい働き方に合わせたセキュリティ対策として、リモートワークを行うにあたって必要な対策やシャドーITへの対応方法について、徹底解説いたします。

コロナ禍でリモートワークが新しい働き方として多くの企業で導入され、社員が在宅で働くことが当たり前な時代になってきました。

そんな新しい働き方として根付いていくリモートワークは、どこでも作業できるというメリットがありますが、管理自体が難しいというデメリットもあります。
また、リモートワークだけではなくコロナの影響で広がったシステムのクラウド化によって管理者が把握しきれないWebサービス、いわゆるシャドーITが急増してきてしまっている企業も少なくないでしょう。

本セミナーでは、新しい時代に必要不可欠なリモートワークやシャドーIT対策を中心に実際の事例を交えてご案内します。

coconala_engineer

March 01, 2023
Tweet

More Decks by coconala_engineer

Other Decks in Programming

Transcript

  1. Copyright coconala Inc. All Rights Reserved. 2 Agenda ココナラで抱えていたセキュリティの課題 ココナラがジョーシス

    / Netskopeを導入した背景 ジョーシス / Netskopeを導入するメリット・効果 ジョーシス / Netskopeを導入するにあたり苦労したこと まとめ 1 2 3 4 5
  2. Copyright coconala Inc. All Rights Reserved. 発表者紹介 3 川崎 雄太 Yuta

    Kawasaki 株式会社ココナラ システムプラットフォーム部 情報システムグループ 兼 システムプラットフォームグループ Group Manager 2020年 株式会社ココナラ入社 プロダクトインフラ・SRE領域と社内情報システ ム領域を担当 2021年にCSIRT立ち上げから携わり、セキュリ ティの企画から運用まで従事
  3. Copyright coconala Inc. All Rights Reserved. ココナラの情報システム部門とは( 1/2) 8 2021年12月に情報システムグループを新設

    • 2020年5月に1人情シス、2021年9月にCSIRTを立ち上 げ、2021年12月に組織化を実施。 ◦ それまでは情シス専門組織はなく、インフラ・SREエ ンジニアが手の空いたときに対応 • 2023年2月時点で5名の組織、社内情報システムとセキュ リティの企画から運用まで担当している。 ◦ リソースが限られているので、優先度の高い施策を効 率的に遂行することが不可欠
  4. Copyright coconala Inc. All Rights Reserved. ココナラの情報システム部門とは( 2/2) 9 社員数は増加中、情シスの役割範囲はより広がる

    ※2022年11月時点 「社員数が増加する =従業員のIT利便性 がより重要になる」と いう構図のため、情 シスに求められる 期待値も高まって いく。
  5. Copyright coconala Inc. All Rights Reserved. 2021年情報システム部門立ち上げ時のセキュリティ課題(概要) 11 現状の認識が弱く、どの順番で何をすればよいか?が不明確 •

    セキュリティの専門部署がなく、どのようにロードマップを描 き、合意形成し、計画して登っていけばよいか不明確。 • セキュリティの課題がリストアップされておらず、「もぐらたた き」で対応をしていた。 ◦ 今回はここにフォーカス!
  6. Copyright coconala Inc. All Rights Reserved. 【参考】セキュリティ課題の対応サマリ 12 内部脅威・外部脅威に分類し、状況の可視化を実現 ※2021年時点の状況

    数字が小さいところが 対策できていない箇 所=優先して対応す べき事項。 例えば、不正持出 や紛失・盗難の対 策が不十分だった。
  7. Copyright coconala Inc. All Rights Reserved. 2021年情報システム部門立ち上げ時のセキュリティ課題(詳細) 13 内部脅威への対策が特にできていない状況だった •

    EDRの導入や持ち立ち対策、セキュリティの規定策定や教 育は一定できていたが、個別最適になっており、抜け道 が多数存在していた。 • 上記状況であったが、事業のグロースを鑑みると他の施策 (ex.M1 / M2アーキテクチャへの対応)を優先せざるを 得なかった。
  8. Copyright coconala Inc. All Rights Reserved. ココナラが解決したい課題 15 内部脅威の状況の可視化とプロアクティブな遮断対応 •

    ココナラの情報システム部門が立ち上がってまだ1年程度 のため、「シャドーIT」が一定数存在していることは把握 できたが、全量はわからなかった。 • 情報の不正持出しの経路は多数あり、なにか問題があっ た際の追跡すらできない状況だった。
  9. Copyright coconala Inc. All Rights Reserved. 打ち手としてのNetskope 17 可視化 /

    ロギングだけでなく、持ち出し行為を制御
  10. Copyright coconala Inc. All Rights Reserved. 経営層に対しての意義説明のハードル 22 投資対効果(ROI)を定量的に説明することが難しい •

    「万が一、問題が発生した場合の対応コスト」と「ソリュー ションの費用」を比較するが、前者の発生確率を正しく説 明できないと、合意形成が難しい。 ◦ ココナラでは、「発生確率」を社外インシデント事例など をベースに試算し、経営層に対して説明を実施した
  11. Copyright coconala Inc. All Rights Reserved. 実運用のイメージ具体化の難しさ 23 導入して終わりではなく、いかに運用するか?がポイント •

    ソリューションの導入コストは導入前に正しく見積もれるが、 運用コストはなかなか正しく見積もることが難しい。 ◦ ココナラでは、他社事例や別のセキュリティ運用を参考 値として、運用コストを試算した
  12. Copyright coconala Inc. All Rights Reserved. ジョーシス / Netskopeを用いて、「不」を解消する 25

    ココナラの課題を解決するために不可欠なソリューション • ジョーシス / Netskopeともに内部脅威 / 外部脅威から守る ためには無くてはならないソリューション。 ◦ 連携アプリや機能も発展途上で今後が楽しみ • 前述の通り、効率的・効果的に使うことが求められるの で、今後も2社とのリレーションを構築して、より良い運用を 実現していくことが重要。
  13. Fin