Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み
Search
gree_tech
PRO
July 03, 2019
Technology
0
200
グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み
「Akamai Security Conference 2019」で発表された資料です。
https://www.event-entry.net/akamai/sc2019/
gree_tech
PRO
July 03, 2019
Tweet
Share
More Decks by gree_tech
See All by gree_tech
REALITY株式会社における開発生産性向上の取り組み: 失敗と成功から学んだこと
gree_tech
PRO
2
200
『ヘブンバーンズレッド』におけるフィールドギミックの裏側
gree_tech
PRO
2
150
セキュリティインシデント対応の体制・運用の試行錯誤 / greetechcon2024-session-a1
gree_tech
PRO
1
150
『アナザーエデン 時空を超える猫』国内海外同時運営実現への道のり ~別々で開発されたアプリを安定して同時リリースするまでの取り組み~
gree_tech
PRO
1
120
『アサルトリリィ Last Bullet』におけるクラウドストリーミング技術を用いたブラウザゲーム化の紹介
gree_tech
PRO
1
160
UnityによるPCアプリの新しい選択肢。「PC版 Google Play Games」への対応について
gree_tech
PRO
1
250
実機ビルドのエラーによる検証ブロッカーを0に!『ヘブンバーンズレッド』のスモークテスト自動化の取り組み
gree_tech
PRO
1
180
"ゲームQA業界の技術向上を目指す! 会社を超えた研究会の取り組み"
gree_tech
PRO
1
230
Jamstack でリニューアルするグリーグループのメディア
gree_tech
PRO
2
400
Other Decks in Technology
See All in Technology
レンジャーシステムズ | 会社紹介(採用ピッチ)
rssytems
0
210
終了の危機にあった15年続くWebサービスを全力で存続させる - phpcon2024
yositosi
20
20k
Amazon Kendra GenAI Index 登場でどう変わる? 評価から学ぶ最適なRAG構成
naoki_0531
0
120
サイボウズフロントエンドエキスパートチームについて / FrontendExpert Team
cybozuinsideout
PRO
5
38k
宇宙ベンチャーにおける最近の情シス取り組みについて
axelmizu
0
110
なぜCodeceptJSを選んだか
goataka
0
160
PHPerのための計算量入門/Complexity101 for PHPer
hanhan1978
5
230
大幅アップデートされたRagas v0.2をキャッチアップ
os1ma
2
540
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
160
LINE Developersプロダクト(LIFF/LINE Login)におけるフロントエンド開発
lycorptech_jp
PRO
0
130
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
170
KnowledgeBaseDocuments APIでベクトルインデックス管理を自動化する
iidaxs
1
270
Featured
See All Featured
How to Ace a Technical Interview
jacobian
276
23k
YesSQL, Process and Tooling at Scale
rocio
169
14k
What's in a price? How to price your products and services
michaelherold
243
12k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
5
450
Rails Girls Zürich Keynote
gr2m
94
13k
Producing Creativity
orderedlist
PRO
341
39k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Bash Introduction
62gerente
608
210k
Documentation Writing (for coders)
carmenintech
66
4.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
247
1.3M
How STYLIGHT went responsive
nonsquared
95
5.2k
Transcript
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved. グリーのセキュリティ戦略 組織改革成功の秘訣と新たな課題への取り組み Jul. 2, 2019 奥村 祐則 (Masanori OKUMURA) 【S-6】
Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村 祐則
(Masanori OKUMURA) グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT PoC 社歴7年+ セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は18年くらい なんだかんだでセキュリティばっかりやってる(エンジニア、コ ンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショッ プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント フォーラム, Gartner Security & Risk Management Summit 2018 など (NY times, AERA, 広報しながわ) 2
Copyright © GREE, Inc. All Rights Reserved. https://corp.gree.net/jp/ja/business/ グリーグループ 事業領域
©Wright Flyer Live Entertainment, Inc./©Ficty
Copyright © GREE, Inc. All Rights Reserved. グリー コーポレートミッション インターネットを通じて、
世界をより良くする。
Copyright © GREE, Inc. All Rights Reserved. グリー 組織図 •
いわゆるコーポレートIT部門 • 商用サービスのインフラ部門 • Data Engineering部門 • CS/QA部門 • セキュリティ 開発本部はバックオフィスとは別の本部として独立して存在 コーポレート本部(バッ クオフィス) 開発本部 (DD) 各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー
セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団 (2011以前 2. 黎明期 (2012くらい 3. 分断期1 バックオフィス・サービスの分断(2013~14くらい 4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで 5. 統一期 (2016後半 6. 大規模インシデント(2016末) 7. 再定義期 真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期
Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 •
全社横断の取り組みを進めようとしたが、事業部門の反発を買う • 2014年にはバックオフィス領域だけでISMS認証を取得 分断期1: バックオフィス・サービスの分断 バックオフィス (コーポレート) 開発本部 (DD) 各事業部門
Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス
プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
Copyright © GREE, Inc. All Rights Reserved. • セキュリティと言えばセキュリティ部、と認知してもらおう •
エンジニアも非エンジニアも、お互いを認めよう • フルスタックの原型ができる 統一期:キーワード 「ワンストップ」
Confidential Copyright © GREE, Inc. All Rights Reserved. セキュリティ部 体制
• 2019/07/01時点 セキュリティ 診断チーム Security Assessment Team セキュリティ部 Security Unit 奥村 祐則 セキュリティ 推進チーム Security Operation Team セキュリティ エンジニアリングチーム Security Engineering Team ※エンジニアは兼務者あり、推進チームは業務委託あり
Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 •
インシデント対応力を一から見直し • 事業部門とのパイプを強化 再定義期 バックオフィス (コーポレート) 開発本部 (DD) 各グループ会社・各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
Copyright © GREE, Inc. All Rights Reserved. 対外的には: • セキュリティ問い合わせ窓口一本
化による効率化 • オールジャンルセキュリティをア ピールすることで、今まで拾えな かった案件捕捉が可能に (Identification だいじ) "フルスタック" でよかったこと 「テーラーメイド」を心掛けた: • 事業も多角化し、全く同じ悩み・課 題を抱えているということはまず ない
Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では: • セキュリティ未経験者でもセキュリ
ティ部で活躍出来るように • エンジニアに近くなったことで ◦ 技術的相談 ◦ 定型作業向けフォーム作成・集計 自動化の依頼 が容易になり、より効率化 "フルスタック" でよかったこと(部内) エンジニアリング目線では: • エンジニアリングに注力出来る ◦ 最初は未知の相談案件でも、類似 案件のノウハウを貯めて移管 • エンジニアが対面対応するケース の削減 ◦ 診断により見つかった脆弱性の連 絡・修正トラッキング ◦ 問い合わせ一次対応 • いわゆる渉外(社外・部外)が激 減 ◦ 診断の内製化に注力できた ◦ 診断以外のこともできるようになっ た(海賊版撲滅CP)
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved. インターネットを通じて、 世界をより良くする。
Copyright © GREE, Inc. All Rights Reserved.