Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例
Search
gree_tech
PRO
April 12, 2019
Technology
0
310
トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例
「ガートナー セキュリティ&リスク・マネジメント サミット 2018」で発表された資料です。
gree_tech
PRO
April 12, 2019
Tweet
Share
More Decks by gree_tech
See All by gree_tech
コミュニケーションに鍵を見いだす、エンジニア1年目の経験談
gree_tech
PRO
0
120
REALITY株式会社における開発生産性向上の取り組み: 失敗と成功から学んだこと
gree_tech
PRO
2
1.7k
『ヘブンバーンズレッド』におけるフィールドギミックの裏側
gree_tech
PRO
2
560
セキュリティインシデント対応の体制・運用の試行錯誤 / greetechcon2024-session-a1
gree_tech
PRO
1
570
『アナザーエデン 時空を超える猫』国内海外同時運営実現への道のり ~別々で開発されたアプリを安定して同時リリースするまでの取り組み~
gree_tech
PRO
1
540
『アサルトリリィ Last Bullet』におけるクラウドストリーミング技術を用いたブラウザゲーム化の紹介
gree_tech
PRO
1
620
UnityによるPCアプリの新しい選択肢。「PC版 Google Play Games」への対応について
gree_tech
PRO
1
980
実機ビルドのエラーによる検証ブロッカーを0に!『ヘブンバーンズレッド』のスモークテスト自動化の取り組み
gree_tech
PRO
1
640
"ゲームQA業界の技術向上を目指す! 会社を超えた研究会の取り組み"
gree_tech
PRO
1
760
Other Decks in Technology
See All in Technology
Zephyr RTOSを使った開発コンペに参加した件
iotengineer22
1
180
OPENLOGI Company Profile
hr01
0
67k
Core Audio tapを使ったリアルタイム音声処理のお話
yuta0306
0
170
赤煉瓦倉庫勉強会「Databricksを選んだ理由と、絶賛真っ只中のデータ基盤移行体験記」
ivry_presentationmaterials
1
160
あなたの声を届けよう! 女性エンジニア登壇の意義とアウトプット実践ガイド #wttjp / Call for Your Voice
kondoyuko
4
530
Understanding_Thread_Tuning_for_Inference_Servers_of_Deep_Models.pdf
lycorptech_jp
PRO
0
160
開発生産性を組織全体の「生産性」へ! 部門間連携の壁を越える実践的ステップ
sudo5in5k
1
4.7k
AIとともに進化するエンジニアリング / Engineering-Evolving-with-AI_final.pdf
lycorptech_jp
PRO
0
150
より良いプロダクトの開発を目指して - 情報を中心としたプロダクト開発 #phpcon #phpcon2025
bengo4com
1
3.2k
Should Our Project Join the CNCF? (Japanese Recap)
whywaita
PRO
0
310
ドメイン特化なCLIPモデルとデータセットの紹介
tattaka
2
550
GitHub Copilot の概要
tomokusaba
1
150
Featured
See All Featured
Rails Girls Zürich Keynote
gr2m
94
14k
Building Applications with DynamoDB
mza
95
6.5k
Stop Working from a Prison Cell
hatefulcrawdad
270
20k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Building a Modern Day E-commerce SEO Strategy
aleyda
42
7.4k
How STYLIGHT went responsive
nonsquared
100
5.6k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Speed Design
sergeychernyshev
32
1k
Rebuilding a faster, lazier Slack
samanthasiow
82
9.1k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
Unsuck your backbone
ammeep
671
58k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Transcript
トレードオフを乗り越えて 民間企業におけるセキュリティ対策の一例 奥村 祐則 / Masanori OKUMURA グリー株式会社 / GREE,
Inc. July 24, 2018
Agenda 1. はじめに 2. これまでの振り返り a. "時代区分" をしてみる 3. 各時代における
"トレードオフ" あるある a. 導入期:ひととおりはできているはずなのに b. 安定期:ひととおりは経験したはずなのに c. 再定義期:新たなゲームのルールは直ちに適用される 4. まとめ a. トレードオフは乗り越えるものなのか、乗り越えられるものなのか b. Adopt, Transform, Scale. いかに適応、変革、拡張すべきか トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例
1. はじめに
Introduction 奥村 祐則 グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT POC 社歴6年くらい
セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は17年くらい なんだかんだでセキュリティばっかりやってる(エ ンジニア、コンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサート ワークショップ, Akamai Edge Japan 2017, 情報 セキュリティマネジメントフォーラム など (NY times, AERA, 広報しながわ) スピーカー自己紹介
社名 : グリー株式会社 代表者 : 代表取締役会長兼社長 田中 良和 設立 :
2004年12月7日 資本金 : 23億3400万円(2017年6月末現在) 事業内容: ゲーム事業、ライブエンターテインメント事業、メディア事業、広告事業、投資事業 従業員数: 1,429人(グループ全体・2018年3月末現在) 売上高 : 65,369百万円(グループ全体・2017年6月期) 営業利益: 7,997百万円(グループ全体・ 2017年6月期) 会社概要
モバイルゲーム事業(グリー) 6 グリーは世界初のモバイルソーシャルゲーム「釣り★スタ」を2007年に公開して以降、さまざまなゲー ムを開発、運営しています。また、GREE Platformを通じてパートナーさまにもゲームを提供していた だいたり、自社で開発したゲームを、App Store、Google Play™を通じて配信したり、より多くのお客 さまに楽しんでいただけるよう努めています。 釣り★スタ
探検ドリランド 踊り子クリノッペ ハコニワ 海賊王国コロンブス モンプラ 戦国キングダム AKB48ステージファイター 神獄のヴァルハラゲート BLEACH 卍解バトル ガンダムマスターズ NEWSに恋して
モバイルゲーム事業(グループ会社) 7 消滅都市2 戦姫絶唱シンフォギア XD UNLIMITED ららマジ AKB48 ステージファイター2 バトルフェスティバル
株式会社Wright Flyer Studios 株式会社ポケラボ 武器よさらば SINoALICE ダンまち ~メモリア・フレーゼ~ アナザーエデン 時空を超える猫 LibraryCross∞ (ライブラリー クロスインフィニット) ぷちぐるラブライブ!
バーチャルYouTuberに特化したライブエンターテインメント事業です。声優やタレントが3Dア バターをまとい演じるバーチャルYouTuberを発掘・育成・マネジメントし、動画番組を企画・制 作・配信したり、配信スタジオ・システムを開発・提供したり、資金面でクリエイターやスタート アップを支援するなど、業界の発展に貢献していきます。 ライブエンターテインメント事業 8
グリーは「インターネットを通じて、世界をより良くする。」というミッションのもと、日々の生 活がより豊かになるような事業を幅広く展開しています。サービスやメディアを通じて人々のコミ ュニケーションを豊かにし、お客さまの毎日をより良いものにしていきます。 メディア事業 9 メディア事業 LIMIA (リミア株式会社) MINE (株式会社3ミニッツ)
ARINE aumo (アウモ株式会社)
グリーでは、インターネットを通じた広告やマーケティング事業において、テクノロジーを基軸と し、アドテクノロジー事業、アドバタイジングクラウド事業、マーケティングクラウド事業、制作 運営事業等、総合的なソリューションをクライアントに提供しています。 10 アドテクノロジー事業 広告事業 WOOZ (Glossom株式会社) アドフリくん (株式会社ADFULLY)
GREE Ads Reward (Glossom株式会社) 制作運営事業 アドバタイジングクラウド事業 GREE Ads DSP (Glossom株式会社) GREE Advertising (グリーアドバタイジング株式会社) AdCorsa (Glossom株式会社) マーケティングクラウド事業 QUANT (クオント株式会社)
2. これまでの振り返り
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"をしてみる 2012
2013 2014 2015 2016 2017 1.黎明期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
黎明期 セキュリティ荒野が広がる混沌の時代
広がる荒野
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
時代背景、状況 • 会社は急成長も業績は天井を打 つ • 組織的なセキュリティ体制はな い • 多くの従業員はセキュリティを 気にしていない
• 個々人の温度感やスキルの違い が大きく、各所でのセキュリテ ィレベルが違う 黎明期 - セキュリティ荒野広がる混沌の時代
導入期 山積するセキュリティ課題に対処した初期の時代
山積する課題
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
時代背景、状況 • 業績が下降に転じる • 組織的なセキュリティ体制が徐 々に形になってくる • 従業員にセキュリティ意識が浸 透してくる •
可視化が進み各所で課題が顕在 化してくる 導入期 - 山積するセキュリティ課題に対処した初期の時代
安定期 表面上は平穏が保たれていた時代
見せかけの安定
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
時代背景、状況 • 業績の低迷が長期化 • ISMS認証(ISO/IEC 27001)を取 得し組織的なセキュリティ体制 が形になる • 従業員にセキュリティ意識が浸
透 • 一定のレベルまではセキュリテ ィ対策が行われた雰囲気に 安定期 - 表面上は平穏が保たれていた時代
時代背景、状況 • 業績が底を打ち反転、新規事業 も展開が始まる • 組織的なセキュリティ体制を安 定運用(マンネリ化) • セキュリティ意識に油断 •
一定のレベルまではセキュリテ ィ対策が行われているので大丈 夫なはず 安定期 - 2016年ころ
2016年12月 安定期の終焉
噴火確認
インシデントの発生 - サーバーへの不正アクセス プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
再定義期 大幅にセキュリティを見直した時代
再設計
Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期:セキュリティ荒野が広がる混沌の時代 2. 導入期:山積するセキュリティ課題に対処した初期の時代 3. 安定期:表面上は平穏が保たれていた時代 4. 再定義期:大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
時代背景、状況 • 業績はダウントレンドを脱する • インシデント対応の体制を見直 し • インシデントを受けて教育研修 やアナウンスを強化 •
再侵害を受けないよう全方位で 対応強化 再定義期 - 大幅にセキュリティを見直した時代
“トレードオフ”あるある 3. 各時代における
時代背景、状況 • 業績が下降に転じる • 組織的なセキュリティ体制が徐 々に形になってくる • 従業員にセキュリティ意識が浸 透してくる •
可視化が進み各所で課題が顕在 化してくる 導入期 - 山積するセキュリティ課題に対処した初期の時代
ありがち“トレードオフ” • 質的にも、量的にも人員が不足 し、どう組織を強化していくか が悩ましい ゴール設定、アプローチ • 千里の道も一歩から ◦ 特効薬はないものと心得る
◦ 持続可能性を意識する ◦ 一歩一歩現場での経験値を上げ ていく ◦ 組織が機能し成熟するには時間 がかかる • どうにかして人員を確保する ◦ セキュリティ未経験者歓迎 ◦ 兼務でも御の字 ◦ プロジェクト化、ワーキンググ ループ化、バーチャル組織化す ることで人を巻き込む 導入期 - 山積するセキュリティ課題に対処した初期の時代
ありがち“トレードオフ” • 課題・問題が多過ぎて「あちら を立てればこちらが立たず」が 頻発 ゴール設定、アプローチ • 全方位作戦を避ける ◦ オフィスとサービス
◦ ポリシーとインプリ ◦ 技術と非技術 • プロジェクト化 ◦ ゴール明確に ◦ 先送りせずフェーズ化する ◦ スモールスタート、スモールゴ ールを積み重ねる 導入期 - 山積するセキュリティ課題に対処した初期の時代
時代背景、状況 • 業績の低迷が長期化 • ISMS認証を取得し組織的なセ キュリティ体制が形になる • 従業員にセキュリティ意識が浸 透 •
一定のレベルまではセキュリテ ィ対策が行われた雰囲気に 安定期 - 表面上は平穏が保たれていた時代
ありがちな“トレードオフ” • 予算は減るけど、セキュリティ レベルは下げないでくれ ◦ 前例踏襲 ◦ 昨年並み ◦ 現状維持
ゴール設定、アプローチ • セキュリティ機能を1つの部門 に集約 ◦ ワンストップサービス • コスト減らしながらも現状維持 は死守 ◦ 効率化、削減といったキーワー ドで組織的に業務改善 ◦ ベンダさんとの飽くなき単価交 渉、工数圧縮交渉 安定期 - 表面上は平穏が保たれていた時代
時代背景、状況 • 業績が底を打ち反転、新規事業 も展開が始まる • 組織的なセキュリティ体制を安 定運用(マンネリ化) • セキュリティ意識に油断 •
一定のレベルまではセキュリテ ィ対策が行われているので大丈 夫なはず 安定期 - 2016年ころ
ありがちな“トレードオフ” • 緊急だが重要でない・重要だが 緊急でない ◦ 緊急案件は減ってくる ◦ 重要案件は積みあがっていく ゴール設定、アプローチ •
現状維持は後退の始まり ◦ 脅威は待ってくれない ◦ テクノロジーも進化していく • 緊急でない、を疑う ◦ 転ばぬ先の杖 ◦ 事後対応を準備するのも立派な 対策 安定期 - 表面上は平穏が保たれていた時代
時代背景、状況 • 業績はダウントレンドを脱する • インシデント対応の体制を見直 し • インシデントを受けて教育研修 やアナウンスを強化 •
再侵害を受けないよう全方位で 対応強化 再定義期 - 大幅にセキュリティを見直した時代
ありがちな“トレードオフ” • インシデント対応はトレードオ フの連続 ◦ 火消しか、調査か、公表か、次 の手は、専門家呼ぶか、etc.... ◦ 最悪の状況は、被害は、再発し ないのか、etc....
ゴール設定、アプローチ • もっと準備しておけば、という 後悔の念を抱きつつも、コント ロールできることにフォーカス ◦ まずはインシデントをコントロ ール下に置く ◦ イニシアティブを失わないよう に ◦ 期限は先に自分で切る • 初動の72時間はとても大事 ◦ その後の継続可能性も大事 再定義期 - 大幅にセキュリティを見直した時代
ありがちな“トレードオフ” • インシデント後の活動、過去の 資産・遺産を活かすか捨てるか • 再発防止をどこまでやるか ゴール設定、アプローチ • 一夜にしてルールが変わったこ とを認識する
◦ 過去のしがらみ、歴史的経緯を 覆すチャンス • 鉄は熱いうちに打て ◦ 平時に戻る前に ◦ 再発防止終わるまでは平時では ない 再定義期 - 大幅にセキュリティを見直した時代
4. まとめ
情報セキュリティは終わりなき戦 い 十人十色のセキュリティでいい トレードオフは乗り越えるものなのか 乗り越えられるものなのか
情報セキュリティは 終わりなき戦い • 日々の運用を大事に する • 継続可能性、再現可 能性が大事 • アジリティを保つ
現状維持=後退と肝 に銘じる • × 単なる先送り • ◦ フェーズ分け いかに適応、変革、拡張すべきか スケールする組織を目指 す • SPOF減らしていく • スケールするルール を策定する ◦ 承認制より届出制 ◦ 集中管理より権限移 譲
今日役に立たなくてもいつか役に立つかも 同じセキュリティという仕事に携わる者として、 何か一つでも持ち帰っていただければ幸いです さいごに 情報セキュリティは終わりなき戦い
ご清聴ありがとうございました! 奥村 祐則 / Masanori OKUMURA
[email protected]
インターネットを通じて、 世界をより良くする。
None