"フルスタック"セキュリティ

Transcript

1. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

   Inc. All Rights Reserved. "フルスタック"セキュリティ April 23, 2019 グリー 開発本部 Meetup #4 #GDMeetup

2. Copyright © GREE, Inc. All Rights Reserved. 概要 今回はセキュリティに焦点をあてた勉強会です。 グリーでは、グループ全体の情報セキュリティに関する業務全般を一つの部門「セキュリティ部」が担っています。

   プロダクトやサービスのセキュリティ面はもちろんのこと、企業一般において必要とされる社内IT環境のセキュリティ面も守備範囲です。 また、技術的なセキュリティ対策だけでなく、ポリシーやルールの整備、教育、周知、監査といった非技術領域の仕事も同じ部内で実施しています。 本イベントではあらゆる領域、レイヤでのセキュリティを取り扱う”フルスタック"セキュリティ部のご紹介と、そんなフルスタックな環境で働いているエンジニアから、ここ最近 取り組んでいることについていくつかご紹介させていただきます。 本イベントが、参加者の皆様の参考になれば幸いです。 ”フルスタック"セキュリティ部のご紹介 技術的なセキュリティ対策からポリシーやルールの整備、教育、周知、監査といった非技術領域までをひとつの部で実施することによるメリット等をお話しします フルスタックセキュリティエンジニア　チームトピック • RSAカンファレンス行ってきた話 • 脆弱性診断系の話 • その他時間の許す限り言える範囲の何か Connpass 告知 https://gree.connpass.com/event/124994/

3. Copyright © GREE, Inc. All Rights Reserved. おしながき 1. はじめに

   2. "フルスタック"セキュリティ部について a. Mission(グリー/DD/セキュリティ) b. 生い立ち c. やってよかった!?フルスタック 3. "フルスタック"セキュリティ部におけるエンジニアリング "フルスタック"セキュリティ

4. Copyright © GREE, Inc. All Rights Reserved. 1. はじめに

5. Copyright © GREE, Inc. All Rights Reserved. 御礼 10連休前のお忙しい中お越しいただきありがとうございます！ 5

6. Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村 祐則

   (Masanori OKUMURA) グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT PoC 社歴7年くらい セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は18年くらい なんだかんだでセキュリティばっかりやってる(エンジニア、コ ンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショッ プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント フォーラム, Gartner Security & Risk Management Summit 2018 など （NY times, AERA, 広報しながわ） 6

7. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について

8. Copyright © GREE, Inc. All Rights Reserved. What's "フルスタック"セキュリティ is

   何？

9. Copyright © GREE, Inc. All Rights Reserved. What's "フルスタック"セキュリティ ではなくて

10. Copyright © GREE, Inc. All Rights Reserved. Why "フルスタック"セキュリティ どうしてこうなった

    （こうした）か How to "フルスタック"セキュリティ を話します！

11. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について Mission(グリー/DD/セキュリティ)

12. Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村 祐則

    (Masanori OKUMURA) グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT PoC 社歴7年くらい セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は18年くらい なんだかんだでセキュリティばっかりやってる(エンジニア、コ ンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショッ プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント フォーラム, Gartner Security & Risk Management Summit 2018 など （NY times, AERA, 広報しながわ） 12

13. Copyright © GREE, Inc. All Rights Reserved. グリー株式会社 / 開発本部

    / セキュリティ部 われわれのミッションとは？

14. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved. インターネットを通じて、 世界をより良くする。

15. Copyright © GREE, Inc. All Rights Reserved. https://corp.gree.net/jp/ja/business/ 事業領域

16. Copyright © GREE, Inc. All Rights Reserved. 開発本部 (DD: Development

    Division) DD

17. Copyright © GREE, Inc. All Rights Reserved. Mission: 技術で事業に貢献する

18. Copyright © GREE, Inc. All Rights Reserved. セキュリティ部 セキュリティ対策を講じて、事業を守る

19. Copyright © GREE, Inc. All Rights Reserved. それだけで いいのか？

20. Copyright © GREE, Inc. All Rights Reserved. Mission of Security

    Unit 情報セキュリティ活動を通じて 事業に貢献する Mission

21. Copyright © GREE, Inc. All Rights Reserved. Mission of Security

    Unit 情報セキュリティ活動を通じて 事業に貢献する Mission 情報セキュリティ活動って？？ 情報セキュリティ対策じゃないの？ 事業を守るのではないの？

22. Copyright © GREE, Inc. All Rights Reserved. 道のりは ながかった

23. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について 生い立ち

24. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー

    セキュリティ年表 2012 2013 2014 2015 2016 2017 フルスタックへの道のり 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期

25. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について 生い立ち

    ～自警団の時代～

26. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー

    セキュリティ年表 2012 2013 2014 2015 2016 2017 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期

27. Copyright © GREE, Inc. All Rights Reserved. 組織図（セキュリティ関連） • 専任のセキュリティ担当はいない

    • セキュリティやる人は、いたり、いなかったり 自警団 バックオフィス （コーポレート） 開発本部 （DD） 各事業部門

28. Copyright © GREE, Inc. All Rights Reserved. CSIRTロール定義 機能分類 役割名称

    業務内容 情報共有 社外PoC：自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携 社内PoC：自組織内連絡担当、 IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携 法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳 ノーティフィケーション担当：自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信 情報収集・分析 リサーチャー：情報収集担当、キュレーター：情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握 脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断 脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価 セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査 ソリューションアナリスト：セキュリティ戦略担当 ソリューションマップ作成、 Fit&Gap分析、リスク評価、有事の際の有効性評価 インシデント対応 コマンダー：CSIRT全体統括 コマンダー：CSIRT全体統括 インシデントマネージャー：インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握 インシデントハンドラー：インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携 インベスティゲーター：調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵 トリアージ担当：優先順位選定担当 事象に対する優先順位の決定 フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 自組織内教育 教育担当：教育・啓発担当 自組織のリテラシー向上、底上げ CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

29. Copyright © GREE, Inc. All Rights Reserved. • ベストエフォート •

    ノーガード戦法も見受けられた • フルスタックの思想はない 自警団の時代：キーワード できる人が、できる範囲でやる

30. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について 生い立ち

    ～黎明期～

31. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー

    セキュリティ年表 2012 2013 2014 2015 2016 2017 黎明期 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期

32. Copyright © GREE, Inc. All Rights Reserved. 組織図（セキュリティ関連） 専任のセキュリティ担当者が入社！ •

    脆弱性診断 • ルールづくり・セキュリティ対策全般・教育・インシデント対応 黎明期 バックオフィス （コーポレート） 開発本部 （DD） 各事業部門

33. Copyright © GREE, Inc. All Rights Reserved. CSIRTロール定義 機能分類 役割名称

    業務内容 情報共有 社外PoC：自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携 社内PoC：自組織内連絡担当、 IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携 法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳 ノーティフィケーション担当：自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信 情報収集・分析 リサーチャー：情報収集担当、キュレーター：情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握 脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断 脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価 セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査 ソリューションアナリスト：セキュリティ戦略担当 ソリューションマップ作成、 Fit&Gap分析、リスク評価、有事の際の有効性評価 インシデント対応 コマンダー：CSIRT全体統括 コマンダー：CSIRT全体統括 インシデントマネージャー：インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握 インシデントハンドラー：インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携 インベスティゲーター：調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵 トリアージ担当：優先順位選定担当 事象に対する優先順位の決定 フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 自組織内教育 教育担当：教育・啓発担当 自組織のリテラシー向上、底上げ CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

34. Copyright © GREE, Inc. All Rights Reserved. • どうせ穴だらけなんだからとにかくやる •

    課題がありすぎて常に自転車操業 • フルスタックまでアタマが回らない 黎明期：キーワード できるところからやる

35. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について 生い立ち

    ～分断期 1～

36. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー

    セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期

37. Copyright © GREE, Inc. All Rights Reserved. 組織図（セキュリティ関連） • 全社横断の取り組みを進めようとしたが、事業部門の反発を買う

    • 2014年にはバックオフィス領域だけでISMS認証を取得 分断期1: バックオフィス・サービスの分断 バックオフィス （コーポレート） 開発本部 （DD） 各事業部門

38. Copyright © GREE, Inc. All Rights Reserved. CSIRTロール定義 機能分類 役割名称

    業務内容 情報共有 社外PoC：自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携 社内PoC：自組織内連絡担当、 IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携 法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳 ノーティフィケーション担当：自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信 情報収集・分析 リサーチャー：情報収集担当、キュレーター：情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握 脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断 脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価 セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査 ソリューションアナリスト：セキュリティ戦略担当 ソリューションマップ作成、 Fit&Gap分析、リスク評価、有事の際の有効性評価 インシデント対応 コマンダー：CSIRT全体統括 コマンダー：CSIRT全体統括 インシデントマネージャー：インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握 インシデントハンドラー：インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携 インベスティゲーター：調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵 トリアージ担当：優先順位選定担当 事象に対する優先順位の決定 フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 自組織内教育 教育担当：教育・啓発担当 自組織のリテラシー向上、底上げ CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

39. Copyright © GREE, Inc. All Rights Reserved. • ウチの部門はカンペキを目指せ！ •

    他部門は他部門に責任とってもらう • フルスタックとは程遠く、仕事が内向きになりがち 分断期1：キーワード ウチはウチ、よそはよそ

40. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について 生い立ち

    ～分断期 2～

41. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー

    セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期2 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期

42. Copyright © GREE, Inc. All Rights Reserved. 組織図（セキュリティ関連） • コーポレートでルール決め、開発本部が旗振りして実装

    分断期2: ポリシー・インプリの分断 バックオフィス （コーポレート） 開発本部 （DD） 各事業部門

43. Copyright © GREE, Inc. All Rights Reserved. CSIRTロール定義 機能分類 役割名称

    業務内容 情報共有 社外PoC：自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携 社内PoC：自組織内連絡担当、 IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携 法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳 ノーティフィケーション担当：自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信 情報収集・分析 リサーチャー：情報収集担当、キュレーター：情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握 脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断 脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価 セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査 ソリューションアナリスト：セキュリティ戦略担当 ソリューションマップ作成、 Fit&Gap分析、リスク評価、有事の際の有効性評価 インシデント対応 コマンダー：CSIRT全体統括 コマンダー：CSIRT全体統括 インシデントマネージャー：インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握 インシデントハンドラー：インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携 インベスティゲーター：調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵 トリアージ担当：優先順位選定担当 事象に対する優先順位の決定 フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 自組織内教育 教育担当：教育・啓発担当 自組織のリテラシー向上、底上げ CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

44. Copyright © GREE, Inc. All Rights Reserved. • そちらが決めたことはしっかりやりますわ •

    いや、でもやり方甘いんじゃない？ • フルスタックとは程遠く、仕事が内向きになりがち 分断期2：キーワード 決めたのはｘｘｘ、やったのはｘｘｘ

45. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について 生い立ち

    ～統一期～

46. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー

    セキュリティ年表 2012 2013 2014 2015 2016 2017 統一期 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期

47. Copyright © GREE, Inc. All Rights Reserved. 組織図（セキュリティ関連） • 開発本部

    / セキュリティ部 にセキュリティ関連の全機能を集約 統一期 バックオフィス （コーポレート） 開発本部 （DD） 各事業部門

48. Copyright © GREE, Inc. All Rights Reserved. CSIRTロール定義 機能分類 役割名称

    業務内容 情報共有 社外PoC：自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携 社内PoC：自組織内連絡担当、 IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携 法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳 ノーティフィケーション担当：自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信 情報収集・分析 リサーチャー：情報収集担当、キュレーター：情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握 脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断 脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価 セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査 ソリューションアナリスト：セキュリティ戦略担当 ソリューションマップ作成、 Fit&Gap分析、リスク評価、有事の際の有効性評価 インシデント対応 コマンダー：CSIRT全体統括 コマンダー：CSIRT全体統括 インシデントマネージャー：インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握 インシデントハンドラー：インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携 インベスティゲーター：調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵 トリアージ担当：優先順位選定担当 事象に対する優先順位の決定 フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 自組織内教育 教育担当：教育・啓発担当 自組織のリテラシー向上、底上げ CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

49. Copyright © GREE, Inc. All Rights Reserved. • セキュリティと言えばセキュリティ部、と認知してもらおう •

    エンジニアも非エンジニアも、お互いを認めよう • フルスタックの原型ができる 統一期：キーワード 「ワンストップ」

50. Copyright © GREE, Inc. All Rights Reserved. 祝！　　　統一

51. Copyright © GREE, Inc. All Rights Reserved. も、つかの間

52. Copyright © GREE, Inc. All Rights Reserved. が、 不正　　　　　　　 アクセス

53. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー

    セキュリティ年表 2012 2013 2014 2015 2016 2017 大規模インシデント 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期 不正アクセス

54. Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス

    プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html

55. Copyright © GREE, Inc. All Rights Reserved. もう一度 セキュリティ

56. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について 生い立ち

    ～再定義期～

57. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー

    セキュリティ年表 2012 2013 2014 2015 2016 2017 再定義期 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期

58. Copyright © GREE, Inc. All Rights Reserved. 組織図（セキュリティ関連） • インシデント対応力を一から見直し

    • 事業部門とのパイプを強化 再定義期 バックオフィス （コーポレート） 開発本部 （DD） 各グループ会社・各事業部門

59. Copyright © GREE, Inc. All Rights Reserved. CSIRTロール定義 機能分類 役割名称

    業務内容 情報共有 社外PoC：自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携 社内PoC：自組織内連絡担当、 IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携 法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳 ノーティフィケーション担当：自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信 情報収集・分析 リサーチャー：情報収集担当、キュレーター：情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握 脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断 脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価 セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査 ソリューションアナリスト：セキュリティ戦略担当 ソリューションマップ作成、 Fit&Gap分析、リスク評価、有事の際の有効性評価 インシデント対応 コマンダー：CSIRT全体統括 コマンダー：CSIRT全体統括 インシデントマネージャー：インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握 インシデントハンドラー：インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携 インベスティゲーター：調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵 トリアージ担当：優先順位選定担当 事象に対する優先順位の決定 フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 自組織内教育 教育担当：教育・啓発担当 自組織のリテラシー向上、底上げ CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

60. Copyright © GREE, Inc. All Rights Reserved. • インシデント対応に必要な機能を一から見直し •

    グループ会社隅々まで貢献しよう • フルスタックを目指して 再定義期：キーワード より早く検知、より速く対応

61. Copyright © GREE, Inc. All Rights Reserved. 2. "フルスタック"セキュリティ部について やってよかった!?フルスタック

62. Copyright © GREE, Inc. All Rights Reserved. 縦割り組織でいいことは（あんまり）なかった やってよかった!?フルスタック 事業会社における一つの解ではある（とおもう）

63. Copyright © GREE, Inc. All Rights Reserved. 対外的には： • セキュリティ問い合わせ窓口一本

    化による効率化 • オールジャンルセキュリティをア ピールすることで、今まで拾えな かった案件捕捉が可能に （Identification だいじ） "フルスタック" でよかったこと 「テーラーメイド」を心掛けた： • 事業も多角化し、全く同じ悩み・課 題を抱えているということはまず ない • 事業に貢献する方法はたくさんあ る ◦ 時には守り ◦ 時には懸念点を払拭 ◦ 時には課題を解決 ◦ 時にはｘｘｘｘ

64. Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では： • セキュリティ未経験者でもセキュリ

    ティ部で活躍出来るように • エンジニアに近くなったことで ◦ 技術的相談 ◦ 定型作業向けフォーム作成・集計 自動化の依頼 が容易になり、より効率化 "フルスタック" でよかったこと（部内） エンジニアリング目線では： • エンジニアリングに注力出来る ◦ 最初は未知の相談案件でも、類似 案件のノウハウを貯めて移管 • エンジニアが対面対応するケース の削減 ◦ 診断により見つかった脆弱性の連 絡・修正トラッキング ◦ 問い合わせ一次対応 • いわゆる渉外（社外・部外）が激 減 ◦ 診断の内製化に注力できた ◦ 診断以外のこともできるようになっ た（海賊版撲滅CP）

65. Copyright © GREE, Inc. All Rights Reserved. Mission of Security

    Unit 情報セキュリティ活動を通じて 事業に貢献する Mission 情報セキュリティ活動って？？ 情報セキュリティ対策じゃないの？ 事業を守るのではないの？

66. Copyright © GREE, Inc. All Rights Reserved. Mission of Security

    Unit 情報セキュリティ活動を通じて 事業に貢献する Mission 事業に貢献できる方法（活動）は多岐にわたる 事業を守るにとどまらず、事業が抱えるセキュリティ課題を解決する

67. Copyright © GREE, Inc. All Rights Reserved. 3. ”フルスタック”セキュリティ部におけるエンジニアリング

68. Copyright © GREE, Inc. All Rights Reserved. 宣伝 RSA Conferenceに参加しました

    https://labs.gree.jp/blog/2019/03/17919/ スマホゲームのセキュリティとWhite box診断のススメ https://www.jssec.org/dl/20170208_T-4.pdf

69. Copyright © GREE, Inc. All Rights Reserved. 自己紹介 • 池添　徹

    • セキュリティ部セキュリティエンジニアリングチーム • 面白そうなネタに食いつく器用貧乏

70. Copyright © GREE, Inc. All Rights Reserved. 本日のお題 ”フルスタック”セキュリティ部におけるエンジニアリング

71. Copyright © GREE, Inc. All Rights Reserved. ”フルスタック”セキュリティ部におけるエンジニアリング

72. Copyright © GREE, Inc. All Rights Reserved. ”フルスタック”セキュリティ部におけるエンジニアリング あらゆる事象への対応

73. Copyright © GREE, Inc. All Rights Reserved. あらゆる事象？ 所属する組織で発生する セキュリティっぽい課題

74. Copyright © GREE, Inc. All Rights Reserved. チーム発足期 「セキュリティチーム発足するから、好きにやって」 「分かりました（とりあえずコード読んで診断するか）」

75. Copyright © GREE, Inc. All Rights Reserved. 組織改編1回目 「次からインフラ部セキュリティチームね。インフラもよろしく」 「分かりました（とりあえず設定見るか）」

    「（パッケージ情報収集動いてる。CVEと紐付けやろ）」 「今度IaaS使うから、証跡・監査系ログよろしく」 「分かりました（取得設定作成とsyslogサーバ新設するか）」 「sshアカウント管理なんとかしたい」 「分かりました（LDAP構築しよ）」

76. Copyright © GREE, Inc. All Rights Reserved. 組織改編2回目 「セキュリティ部立ち上げるから色々よろしく」 「診断チーム独立したい」

    「ええんちゃう？」 「診断独立したから、他よろしく」 「分かりました」

77. Copyright © GREE, Inc. All Rights Reserved. インシデント発生 「インシデント発生したから対応しよう」 「分かりました」

    「バックドア見つけました。」 「検体解析しm…時間無いので診断チーム任せた」 「OK、C2分かったで」 「OK、C2 DNS監視とFWのログ監視作った」 「フォレンジックで影響範囲分かったで」 「侵入経路と影響範囲大体分かった、一斉駆除やるわ」

78. Copyright © GREE, Inc. All Rights Reserved. インシデント後 「色々大変だったから色々整備しよう」 「分かりました。」

    「SIEM用にアレとフォレンジック用にアレ買ってください」 「承認」 「SIEM立てました」 「フォレンジック何となく分かった」 「SSHにMFA入れたい」 「分かりました。アレ買ってください。」 「（管理システムはOSSで建てよ）」

79. Copyright © GREE, Inc. All Rights Reserved. インシデント後 「EDR入れよう。AとBどっちが良い？」 「分かりました。触った感じエンジニア的にはBで」

    「OK。買った」 「EDRからアラート来た」 「見ます。生ログ見たらFPなんで大丈夫です」

80. Copyright © GREE, Inc. All Rights Reserved. 先日 「RSAカンファレンスの報告とかウケるんですかね？」 「やっぱりそう思う？じゃ、後半パートよろしく」

    「…」

81. Copyright © GREE, Inc. All Rights Reserved. おわかり頂けただろうか

82. Copyright © GREE, Inc. All Rights Reserved. セキュリティっぽい課題であれば何でもやる

83. Copyright © GREE, Inc. All Rights Reserved. 現在のカバー領域 • 脆弱性診断

    ◦ Web App/Native App/インフラ設定 • インフラ周り ◦ エンジニア用認証基盤/監査ログ周り/SIEM運用 • アセスメント ◦ 脆弱性管理/脆弱性影響調査 ◦ システム構築相談 • インシデント対応 ◦ AV&EDR&SIEMからのアラート対応 ▪ 影響調査/ログ分析/対処方法検討/対処実施 ▪ ベンダー対応/マルウェア解析/フォレンジック

84. Copyright © GREE, Inc. All Rights Reserved. 機能分類 役割名称 業務内容

    情報収集・分析 リサーチャー：情報収集担当、キュレーター：情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握 脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断 脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価 セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査 ソリューションアナリスト：セキュリティ戦略担当 ソリューションマップ作成、Fit&Gap分析、リスク評価、有事の際の有効性評価 インシデント対応 コマンダー：CSIRT全体統括 コマンダー：CSIRT全体統括 インシデントマネージャー：インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握 インシデントハンドラー：インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携 インベスティゲーター：調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵 トリアージ担当：優先順位選定担当 事象に対する優先順位の決定 フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf めっちゃ出来る ちょっと出来る 全然出来ない 現在のカバー領域

85. Copyright © GREE, Inc. All Rights Reserved. セキュリティエンジニア体制 脆弱性診断チーム （Web/Native）

    セキュリティエンジニアリングチーム （他全部） 1名兼務 イ ン シ デ ン トハ ン ド ラ ー SIEM 脆弱性分 析 NW セキュリティ フォレンジッ ク 脆弱性診断 (web/native)

86. Copyright © GREE, Inc. All Rights Reserved. ふんいきでセキュリティをやり過ぎ

87. Copyright © GREE, Inc. All Rights Reserved. ふんいきでセキュリティ • 診断は専門家がいるが、それ以外の分野は専門家不在

    • 一方、部門統合に伴い”せきゅりてぃ”案件が爆増 • ”必要なことは何でもやる”のノリで、解決すべく対応開始 • 前例無し案件は都度調査 • ”せきゅりてぃ”案件対応で、Engチームの”フルスタック”化が進む • 診断以外の謎案件が来る（以下ループ

88. Copyright © GREE, Inc. All Rights Reserved. 課題：やれることは増えたが… • 定常的な脆弱性診断以外の部分の業務内容が曖昧

    • ロール定義が難しい部分をスケールさせることが出来ない • 人を募集したくても具体性・メッセージ性のある求人が困難 • ”なんか色々やってます。なんか色々出来る人探してます ” • 間違ってないが… • 是正するための余裕を生み出すために人が欲しいが（以下ループ

89. Copyright © GREE, Inc. All Rights Reserved. 教訓 • ”フルスタック”は色々触れて楽しい

    • ノリで進めるなら、ついてこられる人がいないとそれ自体がリスクに • ”フルスタック”体制にするなら、相応のエンジニアリソース確保を

90. Copyright © GREE, Inc. All Rights Reserved. 余談 セキュリティ版SRE的な ロール・呼称があっても良いのではないか

91. Copyright © GREE, Inc. All Rights Reserved. ご清聴ありがとうございました Any Questions?

92. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved. インターネットを通じて、 世界をより良くする。

93. Copyright © GREE, Inc. All Rights Reserved.