Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティチームの話 2023夏@Product Friday

10xinc
October 03, 2023
400

セキュリティチームの話 2023夏@Product Friday

10X社内のProduct Fridayで発表した資料です。

10xinc

October 03, 2023
Tweet

More Decks by 10xinc

Transcript

  1. ©2023 10X, Inc. これまで取り組んできたこと • 誰がどう見てもヤバいやつをBest practiceな姿に近づけていく ◦ GCPの権限管理 ◦

    個人情報周りの棚卸し、権限整理 • なんか匂う場所を漁りに行ってヤバいものを見つけてくる • 社内のセキュリティに関するアレコレの受け皿になる ◦ 捌き方?後で考えます、まずは集約するところから! 10 ざーーーーーーーっくりと
  2. ©2023 10X, Inc. なぜリスクコントロールが必要なのか • リスクが顕在化すると事業にとってネガティブなことが大なり小なり発生する ◦ 金銭的な損失が発生する ◦ 社会的信用が失われる

    • これらにあらかじめ対応するためには以下の2つの活動が必要 ◦ どんなリスクが存在しているか把握する ◦ それぞれのリスクが顕在化した際に何が起きるのか • リスクコントロールを行えてない状態だと「誰も把握してなかったリスクが顕在化して深刻な影響が事業に発生する」ことが起き 得る 16 #セキュリティの教科書での話
  3. ©2023 10X, Inc. コントロール下に置いたリスクにどう対応するのか • 教科書的には4つの対応を行う • リスクの大きさを見積もることで意思決定する • 例えば「顕在化したら事業が終わる」リスクは回避すべき

    • どの手札を切るかでコストも変わるのでコストリターンの 勘定も大事 17 #セキュリティの教科書での話 https://storage.googleapis.com/studio-cms-assets/projects/4BqNpbY1Wr/s-2400x1150_v-frms_webp_971b2d3d-668c-4df5-a5d4-6679ee7c6b13_middle.webp
  4. ©2023 10X, Inc. リスク対応はトレードオフ💸 • リスクを全て無くすことは不可能 • リスク対応は無料じゃない、コストリターンの勘定が常に必要 ◦ 例えばオペミスのリスクがあるから全権限を剥奪したら開発ができなくて事業が進まなくなってしまう

    • セキュリティチームの目的はリスクを無くすことではなく、事業のスピードをなるべく保ちながら安全に成長させること ◦ リスクコントロールは、究極的には手段と言える • 事業にかけるブレーキを最小限に抑えつつ、どこまでリスク対応にコストをかけるかを見極めるのが難しいポイントであり、お もしろいポイントでもある 18 #セキュリティの教科書での話
  5. ©2023 10X, Inc. どんな体制でやってるのか • セキュリティチームは3名 ◦ EM + SWE2名

    • 業務委託でアドバイザリーとして2名に援助しても らっています • 採用活動は長く太く頑張る必要あり🔥 23 最高のAs One Team体制 @sota1235 @swdyh @babarot 業務委託の方 外部アドバイザリーとして
  6. ©2023 10X, Inc. 今のところのこうしたいなー…という話 • 事業・組織が10xするために門番になることを意識的に避ける • 事業のスピードをなるべく落とさずにセキュリティレベルの向上を目指す ◦ プロセスの1つのブロックとしてセキュリティがあるのではなく、どのプロセスにも少しずつセキュリティ対策がコスパよく

    染み込んでいる状態が良さそう? • 最終的にはセキュリティチームがセキュリティ面における会社の意思決定を代弁し、実行し、全ての現場に広げられる状態を 目指したい • 開発とセキュリティのトレードオフは永遠の命題だと思う一方、今のチームメンバーは10Xでの開発経験があるのでいい塩梅 を頑張って探し続けていきたい所存!!!! 28 お気持ち表明
  7. ©2023 10X, Inc. 2. セキュリティチームの加速 • SWE2人(1.5人)、兼務業務が多いという状況からでも、1年半でここまで来れたのは結構すごい ◦ 褒めて欲しい ◦

    sotaが育休で抜けてる半年間踏ん張ってくれたswdyhさんに心のunipos送りたい • 一方でチームとしてやるべきこと=コントロールすべきリスクの全容が見えてきたのでもう少し燃料を投下してチームのアウト プットを増やしていきたい 29 お気持ち表明