グリーのセキュリティ戦略：組織改革成功の秘訣と新たな課題への取り組み

Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村祐則
(Masanori OKUMURA) グリー株式会社開発本部セキュリティ部部長 GREE-IRT PoC 社歴7年+ セキュリティ専任では1人目の社員おおよそセキュリティとつく仕事はなんでも社会人歴は18年くらいなんだかんだでセキュリティばっかりやってる(エンジニア、コンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショップ, Akamai Edge Japan 2017, 情報セキュリティマネジメントフォーラム, Gartner Security & Risk Management Summit 2018 など（NY times, AERA, 広報しながわ） 2

Copyright © GREE, Inc. All Rights Reserved. グリーコーポレートミッションインターネットを通じて、
世界をより良くする。

Copyright © GREE, Inc. All Rights Reserved. グリー組織図 •
いわゆるコーポレートIT部門 • 商用サービスのインフラ部門 • Data Engineering部門 • CS/QA部門 • セキュリティ開発本部はバックオフィスとは別の本部として独立して存在コーポレート本部（バックオフィス）開発本部（DD）各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty

Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリー
セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期

Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連組織図 •
全社横断の取り組みを進めようとしたが、事業部門の反発を買う • 2014年にはバックオフィス領域だけでISMS認証を取得分断期1: バックオフィス・サービスの分断バックオフィス（コーポレート）開発本部（DD）各事業部門

Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス
プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html

Copyright © GREE, Inc. All Rights Reserved. • セキュリティと言えばセキュリティ部、と認知してもらおう •
エンジニアも非エンジニアも、お互いを認めよう • フルスタックの原型ができる統一期：キーワード「ワンストップ」

Confidential Copyright © GREE, Inc. All Rights Reserved. セキュリティ部体制
• 2019/07/01時点セキュリティ診断チーム Security Assessment Team セキュリティ部 Security Unit 奥村祐則セキュリティ推進チーム Security Operation Team セキュリティエンジニアリングチーム Security Engineering Team ※エンジニアは兼務者あり、推進チームは業務委託あり

Copyright © GREE, Inc. All Rights Reserved. 対外的には： • セキュリティ問い合わせ窓口一本
化による効率化 • オールジャンルセキュリティをアピールすることで、今まで拾えなかった案件捕捉が可能に（Identification だいじ） "フルスタック" でよかったこと「テーラーメイド」を心掛けた： • 事業も多角化し、全く同じ悩み・課題を抱えているということはまずない

Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では： • セキュリティ未経験者でもセキュリ
ティ部で活躍出来るように • エンジニアに近くなったことで ◦ 技術的相談 ◦ 定型作業向けフォーム作成・集計自動化の依頼が容易になり、より効率化 "フルスタック" でよかったこと（部内）エンジニアリング目線では： • エンジニアリングに注力出来る ◦ 最初は未知の相談案件でも、類似案件のノウハウを貯めて移管 • エンジニアが対面対応するケースの削減 ◦ 診断により見つかった脆弱性の連絡・修正トラッキング ◦ 問い合わせ一次対応 • いわゆる渉外（社外・部外）が激減 ◦ 診断の内製化に注力できた ◦ 診断以外のこともできるようになった（海賊版撲滅CP）

グリーのセキュリティ戦略：組織改革成功の秘訣と新たな課題への取り組み

グリーのセキュリティ戦略：組織改革成功の秘訣と新たな課題への取り組み

gree_tech
PRO

More Decks by gree_tech

Other Decks in Technology

Featured

Transcript

Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村祐則

Copyright © GREE, Inc. All Rights Reserved. https://corp.gree.net/jp/ja/business/ グリーグループ事業領域

Copyright © GREE, Inc. All Rights Reserved. グリーコーポレートミッションインターネットを通じて、

Copyright © GREE, Inc. All Rights Reserved. グリー組織図 •

Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリー

Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連組織図 •

Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス

Copyright © GREE, Inc. All Rights Reserved. • セキュリティと言えばセキュリティ部、と認知してもらおう •

Confidential Copyright © GREE, Inc. All Rights Reserved. セキュリティ部体制

Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連組織図 •

Copyright © GREE, Inc. All Rights Reserved. 対外的には： • セキュリティ問い合わせ窓口一本

Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では： • セキュリティ未経験者でもセキュリ

Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

Copyright © GREE, Inc. All Rights Reserved.