Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【イベント登壇資料】グロービスセキュリティチームの紹介

GLOBIS Digital Platform
PRO
January 29, 2025
0
58

 【イベント登壇資料】グロービスセキュリティチームの紹介

グロービスデジタルプラットフォーム部門(GDP)が主催でセキュリティエンジニアリングに関するイベントを4社共催で実施致しました(2025年1月28日)。
デジタルプラットフォーム部門のセキュリティチーム及び、取り組みについて発表をさせていただきましたので、ぜひご覧ください。
イベント名:セキュリティエンジニアリング最前線 | 4社の取り組みから見る、これからのセキュリティ
イベント情報:https://globis.connpass.com/event/342426/

GLOBIS Digital Platform
PRO

January 29, 2025
Tweet

More Decks by GLOBIS Digital Platform

See All by GLOBIS Digital Platform
【イベント登壇資料】責務で考える組織と 第三世代のSRE
globis_gdp
PRO
0
260
7分で分かるGLOBIS Digital Platform 紹介資料
globis_gdp
PRO
0
6.4k
GLOBIS基幹システム・企業内研修システム開発組織のご紹介_We_are_hiring_1010.pdf
globis_gdp
PRO
1
540
GLOBIS SREチームのご紹介/ GLOBIS SRE Team is hiring.
globis_gdp
PRO
1
730
GLOBIS データサイエンスチームのご紹介/ GLOBIS Data Science Team is hiring.
globis_gdp
PRO
2
7.2k
GLOBIS 学び放題 / GLOBIS Unlimited のプロダクト開発組織 紹介資料 / We are hiring
globis_gdp
PRO
4
2.9k
エンジニア向けGLOPLA事業開発室の紹介資料 / introduction to GLOPLA LMS (GLOBIS SaaS) for Engineers
globis_gdp
PRO
3
3.6k
GLOBIS Digital Platform QAチーム紹介資料 / GDP QA Team is hiring
globis_gdp
PRO
1
1.2k

Featured

See All Featured
A designer walks into a library…
pauljervisheath
205
24k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
193
16k
Scaling GitHub
holman
459
140k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
4
330
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
630
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.3k
Site-Speed That Sticks
csswizardry
4
380
The Pragmatic Product Professional
lauravandoore
32
6.4k
GitHub's CSS Performance
jonrohan
1030
460k
Code Review Best Practice
trishagee
67
18k

Transcript

  1. GLOBISセキュリティチーム(GSIRT) 株式会社グロービス デジタルプラットフォーム部門 GDP IS チームリーダー 兼 経営管理本部 GHQ IS

    永峰 翔 2025年1月28日

  2. 2 自己紹介 株式会社グロービス 永峰 翔 Sho Nagamine デジタルプラットフォーム部門ISチームリード 兼 経営管理部門ISチーム

    セキュリティユニットリード 略歴 ・2005年4月 新卒でSIerに入社 ・インフラエンジニア(MF、UNIX、SAP、Oracle等) ・以降事業会社2社で ・インフラエンジニア、ITサービスマネジメント、セキュリティ領域を担当 ・2024年2月 グロービス入社

  3. 1. グロービスのご紹介 アジェンダ 3 2.GLOBISセキュリティチーム(GSIRT)のご紹介 3.取り組み事例

  4. 1. グロービスのご紹介 アジェンダ 4 2.GLOBISセキュリティチーム(GSIRT)のご紹介 3.取り組み事例

  5. 5

  6. 6

  7. 7

  8. 8

  9. 9

  10. 1. グロービスのご紹介 アジェンダ 10 2.GLOBISセキュリティチーム(GSIRT)のご紹介 3.取り組み事例

  11. GSIRT (GLOBIS Security Incident Response Team) 事業部門 GLOBISマネジメントチーム (Excutive Committee)

    カンパニーリーダー GCC (Group Compliance Committee) GLOBIS セキュリティチーム(GSIRT) マネジメントチーム直下でGLOBISグループのセキュリティを統括・推進する組織 各事業部門にGSIRT委員をアサインし、事業部門での自律的なセキュリティ対策の推進に伴走しています。 GSIRT 委員 プロダクト チーム 展開・周知 対策依頼 連携 対策推進 11

  12. GSIRTの担う機能役割 12 事業部門 GSIRT委員 ➢ ポリシー・規程管理 : グロービスの目指すセキュリティ目標・基準の言語化、浸透 ➢ 戦略・アーキテクチャ

    : セキュリティ目標の実現に向けた戦略・アーキテクチャの立案・構築 ➢ セキュリティ運用推進 : 各種セキュリティ運用、教育・アウェアネス活動、部門セキュリティ推進支援 ➢ 部門セキュリティ推進 : 部門でのルール・プロセス整備、各種セキュリティ対策の実装推進、 インシデント・レスポンス対応 GSIRT ポリシー・規程管理 セキュリティ戦略・ アーキテクチャ セキュリティ運用推進 部門ルール・対策実施 SOC ※構築中

  13. グロービスのカルチャーとセキュリティの考え方 13 カルチャー(グロービス・ウェイ) 性善説に則った自由と自己責任 ルールによる管理主義を可能な限り排除 分権化によるフラットなネットワーク型組織 各部門・各チーム・各人に積極的に権限を移譲し、 各自が主体的に動きながらも、全体として見れば秩 序がある組織を目指す。 セキュリティの考え方

    過剰な制御による生産性の低下を避ける 「防御」より「検知/対応/復旧」に重点を置く 「部門最適」と「全体最適」の両立

  14. 1. グロービスのご紹介 アジェンダ 14 2.GLOBISセキュリティチーム(GSIRT)のご紹介 3.取り組み事例

  15. 15 セキュリティ対策への取り組み 識別 防御 検知 対応 復旧 ・情報資産管理 ・SBOM ・脆弱性スキャン

    ・SAST(導入対応中) ・脅威モデリング(今後) ・ASM (今後) 資産・脅威の特定 脅威に対する備え 予兆や異常の 監視・検知 被害の最小化 安全な状態への復旧 レジリエンス ・FW, WAF ・IDS, IPS ・SSO, MFA ・セキュアコーディング (OWASP ASVS) ・CSPM, SSPM(今後) ・EDR, NDR ・SIEM(導入対応中) ・SIEM(導入対応中) ・フォレンジック

  16. プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み 16 Continuous Integrations Continuous Monitoring GitHub Advanced Security Yamory

    GihHub Dependabot 役割・体制・プロセス整備 SOC:リアルタイムモニタリング AWS Security Hub SIEM:ログの分析・脅威検出 Security by Design OWASP ASVS 参考: Software Design 2024年6月号 成功するPSIRTの極意 を元に作成

  17. 17 価値 負債 期間 時間の経過とともにセキュリティ観点の負債も積み上がりやすい。 コード上 の脆弱性 ライブラリ/FW の脆弱性 OS/MW上

    の脆弱性 脆弱性観点の負債 プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み

  18. 18 価値 負債 期間 静的解析 (GHAS) Yamory Dependabot Yamory OWASP

    検証標準 検出 設計・実装 コード上 の脆弱性 ライブラリ/FW の脆弱性 OS/MW上 の脆弱性 脆弱性観点の負債 解消 開発プロセスに組み込むことでセキュリティ負債が積み上がらない仕組みを構築。 プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み

  19. 19 ✓ 今期SBOMを利用した脆弱性管理と開発チームへのレポート配信による注意喚起を実施。 ✓ 緊急度・影響度の高い脆弱性に対し、自律的な対処を促す活動を行っています。 プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み

  20. 20 今後の取り組み ✓ SAST – Github Advanced Security の導入・活用方法検討中 ✓

    Webアプリ脆弱性の検出・対処をより上流へシフトさせ、 開発生産性と安全性の両立を目指しています。 要件定義 設計 実装 テスト リリース ・SBOM/脆弱性スキャン ・Webアプリ脆弱性診断 SAST 脆弱性検出 ・セキュリティ規程 ・OWASP ASVS 脆弱性検出 shift セキュリティ 要件 feedback プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み

  21. 21

  22. None
  23. None