Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例
Search
gree_tech
PRO
April 12, 2019
Technology
0
340
トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例
「ガートナー セキュリティ&リスク・マネジメント サミット 2018」で発表された資料です。
gree_tech
PRO
April 12, 2019
Tweet
Share
More Decks by gree_tech
See All by gree_tech
LLM翻訳ツールの開発と海外のお客様対応等への社内導入事例
gree_tech
PRO
0
640
ヘブンバーンズレッドのレンダリングパイプライン刷新
gree_tech
PRO
0
650
ヘブンバーンズレッドにおける、世界観を活かしたミニゲーム企画の作り方
gree_tech
PRO
0
640
「魔法少女まどか☆マギカ Magia Exedra」のグローバル展開を支える、開発チームと翻訳チームの「意識しない協創」を実現するローカライズシステム
gree_tech
PRO
0
640
「魔法少女まどか☆マギカ Magia Exedra」での負荷試験の実践と学び
gree_tech
PRO
0
690
「魔法少女まどか☆マギカ Magia Exedra」の必殺技演出を徹底解剖! -キャラクターの魅力を最大限にファンに届けるためのこだわり-
gree_tech
PRO
0
650
ヒューリスティック評価を用いたゲームQA実践事例
gree_tech
PRO
0
640
ライブサービスゲームQAのパフォーマンス検証による品質改善の取り組み
gree_tech
PRO
0
640
コミュニケーションに鍵を見いだす、エンジニア1年目の経験談
gree_tech
PRO
0
140
Other Decks in Technology
See All in Technology
Automating Web Accessibility Testing with AI Agents
maminami373
0
1.3k
S3アクセス制御の設計ポイント
tommy0124
3
200
いま注目のAIエージェントを作ってみよう
supermarimobros
0
300
「どこから読む?」コードとカルチャーに最速で馴染むための実践ガイド
zozotech
PRO
0
450
開発者を支える Internal Developer Portal のイマとコレカラ / To-day and To-morrow of Internal Developer Portals: Supporting Developers
aoto
PRO
1
460
💡Ruby 川辺で灯すPicoRubyからの光
bash0c7
0
120
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
pei0804
1
180
品質視点から考える組織デザイン/Organizational Design from Quality
mii3king
0
200
Aurora DSQLはサーバーレスアーキテクチャの常識を変えるのか
iwatatomoya
1
1k
ハードウェアとソフトウェアをつなぐ全てを内製している企業の E2E テストの作り方 / How to create E2E tests for a company that builds everything connecting hardware and software in-house
bitkey
PRO
1
150
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
8.7k
250905 大吉祥寺.pm 2025 前夜祭 「プログラミングに出会って20年、『今』が1番楽しい」
msykd
PRO
1
940
Featured
See All Featured
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
8
520
Side Projects
sachag
455
43k
Statistics for Hackers
jakevdp
799
220k
BBQ
matthewcrist
89
9.8k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.7k
Site-Speed That Sticks
csswizardry
10
820
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
30
9.7k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
840
Reflections from 52 weeks, 52 projects
jeffersonlam
352
21k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
Transcript
トレードオフを乗り越えて 民間企業におけるセキュリティ対策の一例 奥村 祐則 / Masanori OKUMURA グリー株式会社 / GREE,
Inc. July 24, 2018
Agenda 1. はじめに 2. これまでの振り返り a. "時代区分" をしてみる 3. 各時代における
"トレードオフ" あるある a. 導入期:ひととおりはできているはずなのに b. 安定期:ひととおりは経験したはずなのに c. 再定義期:新たなゲームのルールは直ちに適用される 4. まとめ a. トレードオフは乗り越えるものなのか、乗り越えられるものなのか b. Adopt, Transform, Scale. いかに適応、変革、拡張すべきか トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例
1. はじめに
Introduction 奥村 祐則 グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT POC 社歴6年くらい
セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は17年くらい なんだかんだでセキュリティばっかりやってる(エ ンジニア、コンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサート ワークショップ, Akamai Edge Japan 2017, 情報 セキュリティマネジメントフォーラム など (NY times, AERA, 広報しながわ) スピーカー自己紹介
社名 : グリー株式会社 代表者 : 代表取締役会長兼社長 田中 良和 設立 :
2004年12月7日 資本金 : 23億3400万円(2017年6月末現在) 事業内容: ゲーム事業、ライブエンターテインメント事業、メディア事業、広告事業、投資事業 従業員数: 1,429人(グループ全体・2018年3月末現在) 売上高 : 65,369百万円(グループ全体・2017年6月期) 営業利益: 7,997百万円(グループ全体・ 2017年6月期) 会社概要
モバイルゲーム事業(グリー) 6 グリーは世界初のモバイルソーシャルゲーム「釣り★スタ」を2007年に公開して以降、さまざまなゲー ムを開発、運営しています。また、GREE Platformを通じてパートナーさまにもゲームを提供していた だいたり、自社で開発したゲームを、App Store、Google Play™を通じて配信したり、より多くのお客 さまに楽しんでいただけるよう努めています。 釣り★スタ
探検ドリランド 踊り子クリノッペ ハコニワ 海賊王国コロンブス モンプラ 戦国キングダム AKB48ステージファイター 神獄のヴァルハラゲート BLEACH 卍解バトル ガンダムマスターズ NEWSに恋して
モバイルゲーム事業(グループ会社) 7 消滅都市2 戦姫絶唱シンフォギア XD UNLIMITED ららマジ AKB48 ステージファイター2 バトルフェスティバル
株式会社Wright Flyer Studios 株式会社ポケラボ 武器よさらば SINoALICE ダンまち ~メモリア・フレーゼ~ アナザーエデン 時空を超える猫 LibraryCross∞ (ライブラリー クロスインフィニット) ぷちぐるラブライブ!
バーチャルYouTuberに特化したライブエンターテインメント事業です。声優やタレントが3Dア バターをまとい演じるバーチャルYouTuberを発掘・育成・マネジメントし、動画番組を企画・制 作・配信したり、配信スタジオ・システムを開発・提供したり、資金面でクリエイターやスタート アップを支援するなど、業界の発展に貢献していきます。 ライブエンターテインメント事業 8
グリーは「インターネットを通じて、世界をより良くする。」というミッションのもと、日々の生 活がより豊かになるような事業を幅広く展開しています。サービスやメディアを通じて人々のコミ ュニケーションを豊かにし、お客さまの毎日をより良いものにしていきます。 メディア事業 9 メディア事業 LIMIA (リミア株式会社) MINE (株式会社3ミニッツ)
ARINE aumo (アウモ株式会社)
グリーでは、インターネットを通じた広告やマーケティング事業において、テクノロジーを基軸と し、アドテクノロジー事業、アドバタイジングクラウド事業、マーケティングクラウド事業、制作 運営事業等、総合的なソリューションをクライアントに提供しています。 10 アドテクノロジー事業 広告事業 WOOZ (Glossom株式会社) アドフリくん (株式会社ADFULLY)
GREE Ads Reward (Glossom株式会社) 制作運営事業 アドバタイジングクラウド事業 GREE Ads DSP (Glossom株式会社) GREE Advertising (グリーアドバタイジング株式会社) AdCorsa (Glossom株式会社) マーケティングクラウド事業 QUANT (クオント株式会社)
2. これまでの振り返り
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"をしてみる 2012
2013 2014 2015 2016 2017 1.黎明期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
黎明期 セキュリティ荒野が広がる混沌の時代
広がる荒野
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
時代背景、状況 • 会社は急成長も業績は天井を打 つ • 組織的なセキュリティ体制はな い • 多くの従業員はセキュリティを 気にしていない
• 個々人の温度感やスキルの違い が大きく、各所でのセキュリテ ィレベルが違う 黎明期 - セキュリティ荒野広がる混沌の時代
導入期 山積するセキュリティ課題に対処した初期の時代
山積する課題
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
時代背景、状況 • 業績が下降に転じる • 組織的なセキュリティ体制が徐 々に形になってくる • 従業員にセキュリティ意識が浸 透してくる •
可視化が進み各所で課題が顕在 化してくる 導入期 - 山積するセキュリティ課題に対処した初期の時代
安定期 表面上は平穏が保たれていた時代
見せかけの安定
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
時代背景、状況 • 業績の低迷が長期化 • ISMS認証(ISO/IEC 27001)を取 得し組織的なセキュリティ体制 が形になる • 従業員にセキュリティ意識が浸
透 • 一定のレベルまではセキュリテ ィ対策が行われた雰囲気に 安定期 - 表面上は平穏が保たれていた時代
時代背景、状況 • 業績が底を打ち反転、新規事業 も展開が始まる • 組織的なセキュリティ体制を安 定運用(マンネリ化) • セキュリティ意識に油断 •
一定のレベルまではセキュリテ ィ対策が行われているので大丈 夫なはず 安定期 - 2016年ころ
2016年12月 安定期の終焉
噴火確認
インシデントの発生 - サーバーへの不正アクセス プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
再定義期 大幅にセキュリティを見直した時代
再設計
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
時代背景、状況 • 業績はダウントレンドを脱する • インシデント対応の体制を見直 し • インシデントを受けて教育研修 やアナウンスを強化 •
再侵害を受けないよう全方位で 対応強化 再定義期 - 大幅にセキュリティを見直した時代
“トレードオフ”あるある 3. 各時代における
時代背景、状況 • 業績が下降に転じる • 組織的なセキュリティ体制が徐 々に形になってくる • 従業員にセキュリティ意識が浸 透してくる •
可視化が進み各所で課題が顕在 化してくる 導入期 - 山積するセキュリティ課題に対処した初期の時代
ありがち“トレードオフ” • 質的にも、量的にも人員が不足 し、どう組織を強化していくか が悩ましい ゴール設定、アプローチ • 千里の道も一歩から ◦ 特効薬はないものと心得る
◦ 持続可能性を意識する ◦ 一歩一歩現場での経験値を上げ ていく ◦ 組織が機能し成熟するには時間 がかかる • どうにかして人員を確保する ◦ セキュリティ未経験者歓迎 ◦ 兼務でも御の字 ◦ プロジェクト化、ワーキンググ ループ化、バーチャル組織化す ることで人を巻き込む 導入期 - 山積するセキュリティ課題に対処した初期の時代
ありがち“トレードオフ” • 課題・問題が多過ぎて「あちら を立てればこちらが立たず」が 頻発 ゴール設定、アプローチ • 全方位作戦を避ける ◦ オフィスとサービス
◦ ポリシーとインプリ ◦ 技術と非技術 • プロジェクト化 ◦ ゴール明確に ◦ 先送りせずフェーズ化する ◦ スモールスタート、スモールゴ ールを積み重ねる 導入期 - 山積するセキュリティ課題に対処した初期の時代
時代背景、状況 • 業績の低迷が長期化 • ISMS認証を取得し組織的なセ キュリティ体制が形になる • 従業員にセキュリティ意識が浸 透 •
一定のレベルまではセキュリテ ィ対策が行われた雰囲気に 安定期 - 表面上は平穏が保たれていた時代
ありがちな“トレードオフ” • 予算は減るけど、セキュリティ レベルは下げないでくれ ◦ 前例踏襲 ◦ 昨年並み ◦ 現状維持
ゴール設定、アプローチ • セキュリティ機能を1つの部門 に集約 ◦ ワンストップサービス • コスト減らしながらも現状維持 は死守 ◦ 効率化、削減といったキーワー ドで組織的に業務改善 ◦ ベンダさんとの飽くなき単価交 渉、工数圧縮交渉 安定期 - 表面上は平穏が保たれていた時代
時代背景、状況 • 業績が底を打ち反転、新規事業 も展開が始まる • 組織的なセキュリティ体制を安 定運用(マンネリ化) • セキュリティ意識に油断 •
一定のレベルまではセキュリテ ィ対策が行われているので大丈 夫なはず 安定期 - 2016年ころ
ありがちな“トレードオフ” • 緊急だが重要でない・重要だが 緊急でない ◦ 緊急案件は減ってくる ◦ 重要案件は積みあがっていく ゴール設定、アプローチ •
現状維持は後退の始まり ◦ 脅威は待ってくれない ◦ テクノロジーも進化していく • 緊急でない、を疑う ◦ 転ばぬ先の杖 ◦ 事後対応を準備するのも立派な 対策 安定期 - 表面上は平穏が保たれていた時代
時代背景、状況 • 業績はダウントレンドを脱する • インシデント対応の体制を見直 し • インシデントを受けて教育研修 やアナウンスを強化 •
再侵害を受けないよう全方位で 対応強化 再定義期 - 大幅にセキュリティを見直した時代
ありがちな“トレードオフ” • インシデント対応はトレードオ フの連続 ◦ 火消しか、調査か、公表か、次 の手は、専門家呼ぶか、etc.... ◦ 最悪の状況は、被害は、再発し ないのか、etc....
ゴール設定、アプローチ • もっと準備しておけば、という 後悔の念を抱きつつも、コント ロールできることにフォーカス ◦ まずはインシデントをコントロ ール下に置く ◦ イニシアティブを失わないよう に ◦ 期限は先に自分で切る • 初動の72時間はとても大事 ◦ その後の継続可能性も大事 再定義期 - 大幅にセキュリティを見直した時代
ありがちな“トレードオフ” • インシデント後の活動、過去の 資産・遺産を活かすか捨てるか • 再発防止をどこまでやるか ゴール設定、アプローチ • 一夜にしてルールが変わったこ とを認識する
◦ 過去のしがらみ、歴史的経緯を 覆すチャンス • 鉄は熱いうちに打て ◦ 平時に戻る前に ◦ 再発防止終わるまでは平時では ない 再定義期 - 大幅にセキュリティを見直した時代
4. まとめ
情報セキュリティは終わりなき戦 い 十人十色のセキュリティでいい トレードオフは乗り越えるものなのか 乗り越えられるものなのか
情報セキュリティは 終わりなき戦い • 日々の運用を大事に する • 継続可能性、再現可 能性が大事 • アジリティを保つ
現状維持=後退と肝 に銘じる • × 単なる先送り • ◦ フェーズ分け いかに適応、変革、拡張すべきか スケールする組織を目指 す • SPOF減らしていく • スケールするルール を策定する ◦ 承認制より届出制 ◦ 集中管理より権限移 譲
今日役に立たなくてもいつか役に立つかも 同じセキュリティという仕事に携わる者として、 何か一つでも持ち帰っていただければ幸いです さいごに 情報セキュリティは終わりなき戦い
ご清聴ありがとうございました! 奥村 祐則 / Masanori OKUMURA
[email protected]
インターネットを通じて、 世界をより良くする。
None