Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録

coconala_engineer
March 01, 2023
Programming
0
450

ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録

# サマリ
ジョーシス主催「ジョーシス ラーニング」に登壇した際の資料
https://jp.josys.com/seminar/20230302

タイトルは「ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録」

# 補足
以下のセミナーの中でジョーシス / Netskopeのユーザー企業として、苦労した点や工夫した点を整理して話をさせていただきました。
---
本セミナーでは、新しい働き方に合わせたセキュリティ対策として、リモートワークを行うにあたって必要な対策やシャドーITへの対応方法について、徹底解説いたします。

コロナ禍でリモートワークが新しい働き方として多くの企業で導入され、社員が在宅で働くことが当たり前な時代になってきました。

そんな新しい働き方として根付いていくリモートワークは、どこでも作業できるというメリットがありますが、管理自体が難しいというデメリットもあります。
また、リモートワークだけではなくコロナの影響で広がったシステムのクラウド化によって管理者が把握しきれないWebサービス、いわゆるシャドーITが急増してきてしまっている企業も少なくないでしょう。

本セミナーでは、新しい時代に必要不可欠なリモートワークやシャドーIT対策を中心に実際の事例を交えてご案内します。

coconala_engineer

March 01, 2023
Tweet

More Decks by coconala_engineer

See All by coconala_engineer
エンジニア数が3倍になる過程でのエンジニア組織の段階的育成アプローチ
coconala_engineer
1
570
WafCharm DAY 2022 パネルディスカッション資料
coconala_engineer
0
120
ElasticON Tokyo トークセッション資料
coconala_engineer
0
110
ココナラにおけるAWSセキュリティ課題の対応実録 ~上場に向けたSIEMを活用したログ分析~
coconala_engineer
0
120
SIEM on Amazon OpenSearch Serviceを活用しよう! 〜WAFログ分析の課題と勘所〜
coconala_engineer
0
300

Other Decks in Programming

See All in Programming
Attributes in PHP 8
beberlei
1
430
例示! Spring Bootで作られた REST APIのテストコード/ Testing-Example-for-a-REST-API-created-with-Spring-Boot
hirotokirimaru
1
270
ゲームの抽選ロジックにGenericsを使ってみたら開発が楽になった話
qualiarts
0
120
Go1.19から始めるGCのチューニング方法
hagatake
0
120
Google I/O 2023 の 個人的おすすめセッションの紹介 / Introducing interesting sessions at Google IO 2023
numeroanddev
1
130
SwiftSyntaxが面白い
ryu_hu03
1
390
M5Stack用の指紋認証デバイスを試す
ufoo68
0
120
Jetpack Compose Debugging to fix performance problems
yucamm124
0
260
若者とGPTのすべて
pyama86
0
220
初めてのKubernetes (ハンズオン)
nearme_tech
0
150
Goのメモリ管理 / Memory management in Go
ymotongpoo
4
3.3k
複雑性に立ち向かうためのサーバーサイドコード分割 / JJUG CCC 2023 Spring
hirokunimaeta
1
280

Featured

See All Featured
Side Projects
sachag
450
39k
Designing the Hi-DPI Web
ddemaree
273
33k
Raft: Consensus for Rubyists
vanstee
130
5.8k
We Have a Design System, Now What?
morganepeng
38
6.2k
The Cult of Friendly URLs
andyhume
70
5.2k
What's in a price? How to price your products and services
michaelherold
234
10k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
225
50k
Six Lessons from altMBA
skipperchong
16
2.5k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
16
1.2k
Automating Front-end Workflow
addyosmani
1352
200k
Scaling GitHub
holman
453
140k
Designing Experiences People Love
moore
131
22k

Transcript

  1. Copyright coconala Inc. All Rights Reserved.
    ココナラにおけるジョーシス /
    Netskope適用に向けたアプローチ実録
    株式会社ココナラ
    システムプラットフォーム部
    情報システムグループ
    川崎 雄太

    View Slide

  2. Copyright coconala Inc. All Rights Reserved.
    2
    Agenda
    ココナラで抱えていたセキュリティの課題
    ココナラがジョーシス / Netskopeを導入した背景
    ジョーシス / Netskopeを導入するメリット・効果
    ジョーシス / Netskopeを導入するにあたり苦労したこと
    まとめ
    1
    2
    3
    4
    5

    View Slide

  3. Copyright coconala Inc. All Rights Reserved.
    発表者紹介
    3
    川崎 雄太 Yuta Kawasaki
    株式会社ココナラ
    システムプラットフォーム部
    情報システムグループ 兼
    システムプラットフォームグループ
    Group Manager
    2020年 株式会社ココナラ入社
    プロダクトインフラ・SRE領域と社内情報システ
    ム領域を担当
    2021年にCSIRT立ち上げから携わり、セキュリ
    ティの企画から運用まで従事

    View Slide

  4. 一人ひとりが「自分のストーリー」を
    生きていく世の中を作る

    View Slide

  5. Copyright coconala Inc. All Rights Reserved.
    5
    知識・スキル・経験を商品化して
    「ECのように売買できる」マッチングプラットフォーム
    product
    ココナラの事業内容

    View Slide

  6. Copyright coconala Inc. All Rights Reserved.
    6
    スキルシェア領域において圧倒的No.1を目指す
    知識・スキル・経験を商品化し、「ECのように売り買いできる」
    マッチング型プラットフォーム。
    6
    スキルマーケット「ココナラ」とは?(
    1/2)

    View Slide

  7. Copyright coconala Inc. All Rights Reserved.
    会員登録者数は 314万人以上(2022年8月時点)
    スキルマーケット「ココナラ」とは?(
    2/2)

    View Slide

  8. Copyright coconala Inc. All Rights Reserved.
    ココナラの情報システム部門とは(
    1/2)
    8
    2021年12月に情報システムグループを新設
    ● 2020年5月に1人情シス、2021年9月にCSIRTを立ち上
    げ、2021年12月に組織化を実施。
    ○ それまでは情シス専門組織はなく、インフラ・SREエ
    ンジニアが手の空いたときに対応
    ● 2023年2月時点で5名の組織、社内情報システムとセキュ
    リティの企画から運用まで担当している。
    ○ リソースが限られているので、優先度の高い施策を効
    率的に遂行することが不可欠

    View Slide

  9. Copyright coconala Inc. All Rights Reserved.
    ココナラの情報システム部門とは(
    2/2)
    9
    社員数は増加中、情シスの役割範囲はより広がる
    ※2022年11月時点
    「社員数が増加する
    =従業員のIT利便性
    がより重要になる」と
    いう構図のため、情
    シスに求められる
    期待値も高まって
    いく。

    View Slide

  10. Copyright coconala Inc. All Rights Reserved.
    ココナラで抱えていたセキュリティの課題
    Chapter 01
    10

    View Slide

  11. Copyright coconala Inc. All Rights Reserved.
    2021年情報システム部門立ち上げ時のセキュリティ課題(概要)
    11
    現状の認識が弱く、どの順番で何をすればよいか?が不明確
    ● セキュリティの専門部署がなく、どのようにロードマップを描
    き、合意形成し、計画して登っていけばよいか不明確。
    ● セキュリティの課題がリストアップされておらず、「もぐらたた
    き」で対応をしていた。
    ○ 今回はここにフォーカス!

    View Slide

  12. Copyright coconala Inc. All Rights Reserved.
    【参考】セキュリティ課題の対応サマリ
    12
    内部脅威・外部脅威に分類し、状況の可視化を実現
    ※2021年時点の状況
    数字が小さいところが
    対策できていない箇
    所=優先して対応す
    べき事項。
    例えば、不正持出
    や紛失・盗難の対
    策が不十分だった。

    View Slide

  13. Copyright coconala Inc. All Rights Reserved.
    2021年情報システム部門立ち上げ時のセキュリティ課題(詳細)
    13
    内部脅威への対策が特にできていない状況だった
    ● EDRの導入や持ち立ち対策、セキュリティの規定策定や教
    育は一定できていたが、個別最適になっており、抜け道
    が多数存在していた。
    ● 上記状況であったが、事業のグロースを鑑みると他の施策
    (ex.M1 / M2アーキテクチャへの対応)を優先せざるを
    得なかった。

    View Slide

  14. Copyright coconala Inc. All Rights Reserved.
    ココナラがジョーシス / Netskopeを
    導入した背景
    Chapter 02
    14

    View Slide

  15. Copyright coconala Inc. All Rights Reserved.
    ココナラが解決したい課題
    15
    内部脅威の状況の可視化とプロアクティブな遮断対応
    ● ココナラの情報システム部門が立ち上がってまだ1年程度
    のため、「シャドーIT」が一定数存在していることは把握
    できたが、全量はわからなかった。
    ● 情報の不正持出しの経路は多数あり、なにか問題があっ
    た際の追跡すらできない状況だった。

    View Slide

  16. Copyright coconala Inc. All Rights Reserved.
    打ち手としてのジョーシス
    16
    連携可能なアプリの状況を可視化し、シャドーITを検知

    View Slide

  17. Copyright coconala Inc. All Rights Reserved.
    打ち手としてのNetskope
    17
    可視化 / ロギングだけでなく、持ち出し行為を制御

    View Slide

  18. Copyright coconala Inc. All Rights Reserved.
    ジョーシス / Netskopeを導入する
    メリット・効果
    Chapter 03
    18

    View Slide

  19. Copyright coconala Inc. All Rights Reserved.
    ゼロタッチデプロイの実現
    19
    アカウント自動作成 〜 管理を一気通貫で実現

    View Slide

  20. Copyright coconala Inc. All Rights Reserved.
    クラウド環境におけるセキュアな環境の実現
    20
    EDR連携によるマルウェア検知・悪意のある行動抑止を実現

    View Slide

  21. Copyright coconala Inc. All Rights Reserved.
    ジョーシス / Netskopeを導入するにあたり
    苦労したこと
    Chapter 04
    21

    View Slide

  22. Copyright coconala Inc. All Rights Reserved.
    経営層に対しての意義説明のハードル
    22
    投資対効果(ROI)を定量的に説明することが難しい
    ● 「万が一、問題が発生した場合の対応コスト」と「ソリュー
    ションの費用」を比較するが、前者の発生確率を正しく説
    明できないと、合意形成が難しい。
    ○ ココナラでは、「発生確率」を社外インシデント事例など
    をベースに試算し、経営層に対して説明を実施した

    View Slide

  23. Copyright coconala Inc. All Rights Reserved.
    実運用のイメージ具体化の難しさ
    23
    導入して終わりではなく、いかに運用するか?がポイント
    ● ソリューションの導入コストは導入前に正しく見積もれるが、
    運用コストはなかなか正しく見積もることが難しい。
    ○ ココナラでは、他社事例や別のセキュリティ運用を参考
    値として、運用コストを試算した

    View Slide

  24. Copyright coconala Inc. All Rights Reserved.
    まとめ
    Chapter 05
    24

    View Slide

  25. Copyright coconala Inc. All Rights Reserved.
    ジョーシス / Netskopeを用いて、「不」を解消する
    25
    ココナラの課題を解決するために不可欠なソリューション
    ● ジョーシス / Netskopeともに内部脅威 / 外部脅威から守る
    ためには無くてはならないソリューション。
    ○ 連携アプリや機能も発展途上で今後が楽しみ
    ● 前述の通り、効率的・効果的に使うことが求められるの
    で、今後も2社とのリレーションを構築して、より良い運用を
    実現していくことが重要。

    View Slide

  26. Copyright coconala Inc. All Rights Reserved.
    最後に…
    26

    View Slide

  27. Copyright coconala Inc. All Rights Reserved.
    ココナラでは、一緒に事業のグロースを
    推進していただける様々な領域のエンジ
    ニアを募集しています。
    27

    View Slide

  28. ユーザーのストーリーを
    テクノロジーでサポートする
    エントリーお待ちしてます!
    coconala engineer 採用
    https://coconala.co.jp/recruit/engineer https://speakerdeck.com/coconala_hr/coco
    nala-company-profile-for-engineer

    View Slide

  29. Fin

    View Slide

  30. Copyright coconala Inc. All Rights Reserved.
    Appendix
    Chapter 06
    30

    View Slide