Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録

coconala_engineer
March 01, 2023
Programming
0
1.2k

ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録

# サマリ
ジョーシス主催「ジョーシス ラーニング」に登壇した際の資料
https://jp.josys.com/seminar/20230302

タイトルは「ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録」

# 補足
以下のセミナーの中でジョーシス / Netskopeのユーザー企業として、苦労した点や工夫した点を整理して話をさせていただきました。
---
本セミナーでは、新しい働き方に合わせたセキュリティ対策として、リモートワークを行うにあたって必要な対策やシャドーITへの対応方法について、徹底解説いたします。

コロナ禍でリモートワークが新しい働き方として多くの企業で導入され、社員が在宅で働くことが当たり前な時代になってきました。

そんな新しい働き方として根付いていくリモートワークは、どこでも作業できるというメリットがありますが、管理自体が難しいというデメリットもあります。
また、リモートワークだけではなくコロナの影響で広がったシステムのクラウド化によって管理者が把握しきれないWebサービス、いわゆるシャドーITが急増してきてしまっている企業も少なくないでしょう。

本セミナーでは、新しい時代に必要不可欠なリモートワークやシャドーIT対策を中心に実際の事例を交えてご案内します。

coconala_engineer

March 01, 2023
Tweet

More Decks by coconala_engineer

See All by coconala_engineer
VPoE Meetup Vol.1 VPoEとして実践してきたことと反省点
coconala_engineer
3
260
エンジニアマネージャーになった理由を振り返ってみた
coconala_engineer
0
76
Developer Experienceを向上させる基盤づくりの取り組み事例集
coconala_engineer
0
200
Vue.jsで入力フォームにリアルタイムハイライト機能を自前実装した話
coconala_engineer
0
52
技術広報経験0のEMがエンジニアブランディングを始めてみた
coconala_engineer
2
240
オンコール運用をほんの少し効率的に行うためのTips
coconala_engineer
0
250
事業会社におけるセキュリティ・ ITガバナンス強化への道のり
coconala_engineer
0
34
徹底解説!Insight SQL Testingを活用したデータベース移行の実践ポイント
coconala_engineer
0
260
人材・モチベーション・情報システムの融合とエンゲージメント
coconala_engineer
0
150

Other Decks in Programming

See All in Programming
アジャイルを支えるテストアーキテクチャ設計/Test Architecting for Agile
goyoki
9
3.2k
Jakarta Concurrencyによる並行処理プログラミングの始め方 (JJUG CCC 2024 Fall)
tnagao7
1
280
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
510
Quine, Polyglot, 良いコード
qnighy
4
630
Content Security Policy入門 セキュリティ設定と 違反レポートのはじめ方 / Introduction to Content Security Policy Getting Started with Security Configuration and Violation Reporting
uskey512
1
510
광고 소재 심사 과정에 AI를 도입하여 광고 서비스 생산성 향상시키기
kakao
PRO
0
170
ヤプリ新卒SREの オンボーディング
masaki12
0
120
イベント駆動で成長して委員会
happymana
1
300
「今のプロジェクトいろいろ大変なんですよ、app/services とかもあって……」/After Kaigi on Rails 2024 LT Night
junk0612
5
2.1k
카카오페이는 어떻게 수천만 결제를 처리할까? 우아한 결제 분산락 노하우
kakao
PRO
0
110
ActiveSupport::Notifications supporting instrumentation of Rails apps with OpenTelemetry
ymtdzzz
1
210
見せてあげますよ、「本物のLaravel批判」ってやつを。
77web
7
7.5k

Featured

See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Unsuck your backbone
ammeep
668
57k
RailsConf 2023
tenderlove
29
900
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
2k
Building Your Own Lightsaber
phodgson
103
6.1k
Docker and Python
trallard
40
3.1k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k

Transcript

  1. Copyright coconala Inc. All Rights Reserved. ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録 株式会社ココナラ

    システムプラットフォーム部 情報システムグループ 川崎 雄太

  2. Copyright coconala Inc. All Rights Reserved. 2 Agenda ココナラで抱えていたセキュリティの課題 ココナラがジョーシス

    / Netskopeを導入した背景 ジョーシス / Netskopeを導入するメリット・効果 ジョーシス / Netskopeを導入するにあたり苦労したこと まとめ 1 2 3 4 5

  3. Copyright coconala Inc. All Rights Reserved. 発表者紹介 3 川崎 雄太 Yuta

    Kawasaki 株式会社ココナラ システムプラットフォーム部 情報システムグループ 兼 システムプラットフォームグループ Group Manager 2020年 株式会社ココナラ入社 プロダクトインフラ・SRE領域と社内情報システ ム領域を担当 2021年にCSIRT立ち上げから携わり、セキュリ ティの企画から運用まで従事

  4. 一人ひとりが「自分のストーリー」を 生きていく世の中を作る

  5. Copyright coconala Inc. All Rights Reserved. 5 知識・スキル・経験を商品化して 「ECのように売買できる」マッチングプラットフォーム product

    ココナラの事業内容

  6. Copyright coconala Inc. All Rights Reserved. 6 スキルシェア領域において圧倒的No.1を目指す 知識・スキル・経験を商品化し、「ECのように売り買いできる」 マッチング型プラットフォーム。

    6 スキルマーケット「ココナラ」とは?( 1/2)

  7. Copyright coconala Inc. All Rights Reserved. 会員登録者数は 314万人以上(2022年8月時点) スキルマーケット「ココナラ」とは?( 2/2)

  8. Copyright coconala Inc. All Rights Reserved. ココナラの情報システム部門とは( 1/2) 8 2021年12月に情報システムグループを新設

    • 2020年5月に1人情シス、2021年9月にCSIRTを立ち上 げ、2021年12月に組織化を実施。 ◦ それまでは情シス専門組織はなく、インフラ・SREエ ンジニアが手の空いたときに対応 • 2023年2月時点で5名の組織、社内情報システムとセキュ リティの企画から運用まで担当している。 ◦ リソースが限られているので、優先度の高い施策を効 率的に遂行することが不可欠

  9. Copyright coconala Inc. All Rights Reserved. ココナラの情報システム部門とは( 2/2) 9 社員数は増加中、情シスの役割範囲はより広がる

    ※2022年11月時点 「社員数が増加する =従業員のIT利便性 がより重要になる」と いう構図のため、情 シスに求められる 期待値も高まって いく。

  10. Copyright coconala Inc. All Rights Reserved. ココナラで抱えていたセキュリティの課題 Chapter 01 10

  11. Copyright coconala Inc. All Rights Reserved. 2021年情報システム部門立ち上げ時のセキュリティ課題(概要) 11 現状の認識が弱く、どの順番で何をすればよいか?が不明確 •

    セキュリティの専門部署がなく、どのようにロードマップを描 き、合意形成し、計画して登っていけばよいか不明確。 • セキュリティの課題がリストアップされておらず、「もぐらたた き」で対応をしていた。 ◦ 今回はここにフォーカス!

  12. Copyright coconala Inc. All Rights Reserved. 【参考】セキュリティ課題の対応サマリ 12 内部脅威・外部脅威に分類し、状況の可視化を実現 ※2021年時点の状況

    数字が小さいところが 対策できていない箇 所=優先して対応す べき事項。 例えば、不正持出 や紛失・盗難の対 策が不十分だった。

  13. Copyright coconala Inc. All Rights Reserved. 2021年情報システム部門立ち上げ時のセキュリティ課題(詳細) 13 内部脅威への対策が特にできていない状況だった •

    EDRの導入や持ち立ち対策、セキュリティの規定策定や教 育は一定できていたが、個別最適になっており、抜け道 が多数存在していた。 • 上記状況であったが、事業のグロースを鑑みると他の施策 (ex.M1 / M2アーキテクチャへの対応)を優先せざるを 得なかった。

  14. Copyright coconala Inc. All Rights Reserved. ココナラがジョーシス / Netskopeを 導入した背景

    Chapter 02 14

  15. Copyright coconala Inc. All Rights Reserved. ココナラが解決したい課題 15 内部脅威の状況の可視化とプロアクティブな遮断対応 •

    ココナラの情報システム部門が立ち上がってまだ1年程度 のため、「シャドーIT」が一定数存在していることは把握 できたが、全量はわからなかった。 • 情報の不正持出しの経路は多数あり、なにか問題があっ た際の追跡すらできない状況だった。

  16. Copyright coconala Inc. All Rights Reserved. 打ち手としてのジョーシス 16 連携可能なアプリの状況を可視化し、シャドーITを検知

  17. Copyright coconala Inc. All Rights Reserved. 打ち手としてのNetskope 17 可視化 /

    ロギングだけでなく、持ち出し行為を制御

  18. Copyright coconala Inc. All Rights Reserved. ジョーシス / Netskopeを導入する メリット・効果

    Chapter 03 18

  19. Copyright coconala Inc. All Rights Reserved. ゼロタッチデプロイの実現 19 アカウント自動作成 〜

    管理を一気通貫で実現

  20. Copyright coconala Inc. All Rights Reserved. クラウド環境におけるセキュアな環境の実現 20 EDR連携によるマルウェア検知・悪意のある行動抑止を実現

  21. Copyright coconala Inc. All Rights Reserved. ジョーシス / Netskopeを導入するにあたり 苦労したこと

    Chapter 04 21

  22. Copyright coconala Inc. All Rights Reserved. 経営層に対しての意義説明のハードル 22 投資対効果(ROI)を定量的に説明することが難しい •

    「万が一、問題が発生した場合の対応コスト」と「ソリュー ションの費用」を比較するが、前者の発生確率を正しく説 明できないと、合意形成が難しい。 ◦ ココナラでは、「発生確率」を社外インシデント事例など をベースに試算し、経営層に対して説明を実施した

  23. Copyright coconala Inc. All Rights Reserved. 実運用のイメージ具体化の難しさ 23 導入して終わりではなく、いかに運用するか?がポイント •

    ソリューションの導入コストは導入前に正しく見積もれるが、 運用コストはなかなか正しく見積もることが難しい。 ◦ ココナラでは、他社事例や別のセキュリティ運用を参考 値として、運用コストを試算した

  24. Copyright coconala Inc. All Rights Reserved. まとめ Chapter 05 24

  25. Copyright coconala Inc. All Rights Reserved. ジョーシス / Netskopeを用いて、「不」を解消する 25

    ココナラの課題を解決するために不可欠なソリューション • ジョーシス / Netskopeともに内部脅威 / 外部脅威から守る ためには無くてはならないソリューション。 ◦ 連携アプリや機能も発展途上で今後が楽しみ • 前述の通り、効率的・効果的に使うことが求められるの で、今後も2社とのリレーションを構築して、より良い運用を 実現していくことが重要。

  26. Copyright coconala Inc. All Rights Reserved. 最後に… 26

  27. Copyright coconala Inc. All Rights Reserved. ココナラでは、一緒に事業のグロースを 推進していただける様々な領域のエンジ ニアを募集しています。 27

  28. ユーザーのストーリーを テクノロジーでサポートする エントリーお待ちしてます! coconala engineer 採用 https://coconala.co.jp/recruit/engineer https://speakerdeck.com/coconala_hr/coco nala-company-profile-for-engineer

  29. Fin

  30. Copyright coconala Inc. All Rights Reserved. Appendix Chapter 06 30