セキュリティチームの話 2023夏@Product Friday

Transcript

1. ©2023 10X, Inc. セキュリティチームの話 2023夏 2023/09/15 Product Friday

2. ©2023 10X, Inc. 2 初めましての方は初めまして 自己紹介 • @sota1235 • 好きな脆弱性はXSSです

   • 飛行機芸人です

3. ©2023 10X, Inc. 3 突然ですが… セキュリティチームのこと知ってる人 🙋 👍reactionお願いします

4. ©2023 10X, Inc. 4 突然ですが… セキュリティチームが何してるか知ってる人 🙋 👍reactionお願いします

5. ©2023 10X, Inc. 多分だけど…🤔 • 権限管理の門番っぽい感じ？ • セキュリティの相談事なんでも受けてくれる感じ？ • 脆弱性の対応とか取り仕切ってる感じ？

   5 全然知らなくてもイイノヨ

6. ©2023 10X, Inc. 大体あってます！でも！もう一声！ • 日々の業務、という点ではどれも正解です！ • が、これらは全て目指す世界を実現するためのHowをブレイクダウンし切った姿だったりします • 今日はセキュリティチームがどんな世界を目指してるのか歴史を交えつつお話しします！

   6 全然知らなくてもイイノヨ

7. ©2023 10X, Inc. お品書き 1. 3分でわかるセキュリティチームの歴史 2. セキュリティチームの今 3. セキュリティチームのこれから

   7 みんなのおやつタイムを支える発表を目指します

8. ©2023 10X, Inc. 8 お品書きその1 3分で分かるセキュリティチームの歴史

9. ©2023 10X, Inc. セキュリティチーム誕生秘話 9 過去に話しておいて良かった〜 https://speakerdeck.com/10xinc/sekiyuriteitimunojin-at-kai-fa-gong-you-hui?slide=28

10. ©2023 10X, Inc. これまで取り組んできたこと • 誰がどう見てもヤバいやつをBest practiceな姿に近づけていく ◦ GCPの権限管理 ◦

    個人情報周りの棚卸し、権限整理 • なんか匂う場所を漁りに行ってヤバいものを見つけてくる • 社内のセキュリティに関するアレコレの受け皿になる ◦ 捌き方？後で考えます、まずは集約するところから！ 10 ざーーーーーーーっくりと

11. ©2023 10X, Inc. 11 まずは… 「こうあるべき」像を描いてギャップを埋める ではなく まずは足元を整理しなが全容を明らかにしていった

12. ©2023 10X, Inc. 12 お品書きその2 セキュリティチームの今

13. ©2023 10X, Inc. 13 チームメンバーの努力、社内の多大な協力もあり … リスクコントロールを行う フェーズへ 徐々にこのフェーズに移ってきた感がある

14. ©2023 10X, Inc. 14 #セキュリティの教科書での話 リスクコントロール #とは

15. ©2023 10X, Inc. リスクコントロールとは • 会社や事業にはいろんなリスクが常に存在し続ける • これらのリスクを把握し、必要に応じて対応し続けていくこと • この活動こそが「情報セキュリティを頑張る」と同義

    • リスクコントロール ≠ リスクを無くす、ではない 15 #セキュリティの教科書での話

16. ©2023 10X, Inc. なぜリスクコントロールが必要なのか • リスクが顕在化すると事業にとってネガティブなことが大なり小なり発生する ◦ 金銭的な損失が発生する ◦ 社会的信用が失われる

    • これらにあらかじめ対応するためには以下の2つの活動が必要 ◦ どんなリスクが存在しているか把握する ◦ それぞれのリスクが顕在化した際に何が起きるのか • リスクコントロールを行えてない状態だと「誰も把握してなかったリスクが顕在化して深刻な影響が事業に発生する」ことが起き 得る 16 #セキュリティの教科書での話

17. ©2023 10X, Inc. コントロール下に置いたリスクにどう対応するのか • 教科書的には4つの対応を行う • リスクの大きさを見積もることで意思決定する • 例えば「顕在化したら事業が終わる」リスクは回避すべき

    • どの手札を切るかでコストも変わるのでコストリターンの 勘定も大事 17 #セキュリティの教科書での話 https://storage.googleapis.com/studio-cms-assets/projects/4BqNpbY1Wr/s-2400x1150_v-frms_webp_971b2d3d-668c-4df5-a5d4-6679ee7c6b13_middle.webp

18. ©2023 10X, Inc. リスク対応はトレードオフ💸 • リスクを全て無くすことは不可能 • リスク対応は無料じゃない、コストリターンの勘定が常に必要 ◦ 例えばオペミスのリスクがあるから全権限を剥奪したら開発ができなくて事業が進まなくなってしまう

    • セキュリティチームの目的はリスクを無くすことではなく、事業のスピードをなるべく保ちながら安全に成長させること ◦ リスクコントロールは、究極的には手段と言える • 事業にかけるブレーキを最小限に抑えつつ、どこまでリスク対応にコストをかけるかを見極めるのが難しいポイントであり、お もしろいポイントでもある 18 #セキュリティの教科書での話

19. ©2023 10X, Inc. 19 話を戻して… 今のセキュリティチームはどこまでできてるん？

20. ©2023 10X, Inc. コントロールしている範囲がじわじわ広がってきた • コントロールできているリスク、そうでないリスクの輪郭が少しずつ見えてきた • 上記をテーブルに広げた上で優先度を見定めながらチーム作りやプロセス設計に踏み込めるようになってきた • 「まずは今の状況をどうにかしなきゃ…」から「次の半年はこのリスクに対応しましょう」になってきた💪

    20 進捗、ありまぁす！

21. ©2023 10X, Inc. 半年単位での施策・リスクアセスメント 21 半年に1回実施してます💪

22. ©2023 10X, Inc. 長期での施策・リスクアセスメント 22 定期的にやってます

23. ©2023 10X, Inc. どんな体制でやってるのか • セキュリティチームは3名 ◦ EM + SWE2名

    • 業務委託でアドバイザリーとして2名に援助しても らっています • 採用活動は長く太く頑張る必要あり🔥 23 最高のAs One Team体制 @sota1235 @swdyh @babarot 業務委託の方 外部アドバイザリーとして

24. ©2023 10X, Inc. 他チームとの連携 • 会社全体のセキュリティで見ると、セキュリティ チーム以外も強くコミットメントしてくれています • 必要に応じて相互に連携しながら進めてる •

    組織が10xしても瓦解しないよう、Ownershipの 分割と移譲はセキュリティにおいても重要な命題 24 最高のAs One Team体制

25. ©2023 10X, Inc. 25 お品書きその3 セキュリティチームの今後

26. ©2023 10X, Inc. 今後、取り組みたい2つの課題 1. 10Xが目指すセキュリティ文化の言語化 2. セキュリティチームの加速 26 お気持ち表明

27. ©2023 10X, Inc. 1. 10Xが目指すセキュリティ文化の言語化 27 お気持ち表明 https://kaminashi-developer.hatenablog.jp/entry/2023/07/19/120000

28. ©2023 10X, Inc. 今のところのこうしたいなー…という話 • 事業・組織が10xするために門番になることを意識的に避ける • 事業のスピードをなるべく落とさずにセキュリティレベルの向上を目指す ◦ プロセスの1つのブロックとしてセキュリティがあるのではなく、どのプロセスにも少しずつセキュリティ対策がコスパよく

    染み込んでいる状態が良さそう？ • 最終的にはセキュリティチームがセキュリティ面における会社の意思決定を代弁し、実行し、全ての現場に広げられる状態を 目指したい • 開発とセキュリティのトレードオフは永遠の命題だと思う一方、今のチームメンバーは10Xでの開発経験があるのでいい塩梅 を頑張って探し続けていきたい所存！！！！ 28 お気持ち表明

29. ©2023 10X, Inc. 2. セキュリティチームの加速 • SWE2人(1.5人)、兼務業務が多いという状況からでも、1年半でここまで来れたのは結構すごい ◦ 褒めて欲しい ◦

    sotaが育休で抜けてる半年間踏ん張ってくれたswdyhさんに心のunipos送りたい • 一方でチームとしてやるべきこと＝コントロールすべきリスクの全容が見えてきたのでもう少し燃料を投下してチームのアウト プットを増やしていきたい 29 お気持ち表明

30. ©2023 10X, Inc. やれてきたこと • 👍SWE2人(1.5人)、兼務業務が多いという状況からでも、1年半でここまで来れたのは結構すごい • 👍採用はできてないものの外部リソースを慎重に検討しながら活用できている点もいい • 👍セキュリティ系のイベントを実施、いい感じのイベントにできている

    • 👍何から始めれば、という状態から取り組むべき課題の大半をクリアにしたことでソフトウェアエンジニアのHCを開けられた 30 お気持ち表明

31. ©2023 10X, Inc. 頑張りたいこと • 引き続き、外部からの採用 ◦ みなさま、SNSシェアや思い当たる人の紹介等々引き続きよろしくお願いします！！！ 31 お気持ち表明

32. ©2023 10X, Inc. 32 We are hiring🫶 Thank you