トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

Transcript

1. トレードオフを乗り越えて 民間企業におけるセキュリティ対策の一例 奥村 祐則 / Masanori OKUMURA グリー株式会社 / GREE,

   Inc. July 24, 2018

2. Agenda 1. はじめに 2. これまでの振り返り a. "時代区分" をしてみる 3. 各時代における

   "トレードオフ" あるある a. 導入期：ひととおりはできているはずなのに b. 安定期：ひととおりは経験したはずなのに c. 再定義期：新たなゲームのルールは直ちに適用される 4. まとめ a. トレードオフは乗り越えるものなのか、乗り越えられるものなのか b. Adopt, Transform, Scale. いかに適応、変革、拡張すべきか トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

3. 1. はじめに

4. Introduction 奥村 祐則 グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT POC 社歴6年くらい

   セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は17年くらい なんだかんだでセキュリティばっかりやってる（エ ンジニア、コンサル、監査、CSIRT, etc…） 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサート ワークショップ, Akamai Edge Japan 2017, 情報 セキュリティマネジメントフォーラム など （NY times, AERA, 広報しながわ） スピーカー自己紹介

5. 社名 ： グリー株式会社 代表者 ： 代表取締役会長兼社長 田中 良和 設立 ：

   2004年12月7日 資本金 ： 23億3400万円（2017年6月末現在） 事業内容： ゲーム事業、ライブエンターテインメント事業、メディア事業、広告事業、投資事業 従業員数： 1,429人（グループ全体・2018年3月末現在） 売上高 ： 65,369百万円（グループ全体・2017年6月期） 営業利益： 7,997百万円（グループ全体・ 2017年6月期） 会社概要

6. モバイルゲーム事業（グリー） 6 グリーは世界初のモバイルソーシャルゲーム「釣り★スタ」を2007年に公開して以降、さまざまなゲー ムを開発、運営しています。また、GREE Platformを通じてパートナーさまにもゲームを提供していた だいたり、自社で開発したゲームを、App Store、Google Play™を通じて配信したり、より多くのお客 さまに楽しんでいただけるよう努めています。 釣り★スタ

   探検ドリランド 踊り子クリノッペ ハコニワ 海賊王国コロンブス モンプラ 戦国キングダム AKB48ステージファイター 神獄のヴァルハラゲート BLEACH 卍解バトル ガンダムマスターズ NEWSに恋して

7. モバイルゲーム事業（グループ会社） 7 消滅都市2 戦姫絶唱シンフォギア XD UNLIMITED ららマジ AKB48 ステージファイター2 バトルフェスティバル

   株式会社Wright Flyer Studios 株式会社ポケラボ 武器よさらば SINoALICE ダンまち ～メモリア・フレーゼ～ アナザーエデン 時空を超える猫 LibraryCross∞ （ライブラリー クロスインフィニット） ぷちぐるラブライブ！

8. バーチャルYouTuberに特化したライブエンターテインメント事業です。声優やタレントが3Dア バターをまとい演じるバーチャルYouTuberを発掘・育成・マネジメントし、動画番組を企画・制 作・配信したり、配信スタジオ・システムを開発・提供したり、資金面でクリエイターやスタート アップを支援するなど、業界の発展に貢献していきます。 ライブエンターテインメント事業 8

9. グリーは「インターネットを通じて、世界をより良くする。」というミッションのもと、日々の生 活がより豊かになるような事業を幅広く展開しています。サービスやメディアを通じて人々のコミ ュニケーションを豊かにし、お客さまの毎日をより良いものにしていきます。 メディア事業 9 メディア事業 LIMIA （リミア株式会社） MINE （株式会社３ミニッツ）

   ARINE aumo （アウモ株式会社）

10. グリーでは、インターネットを通じた広告やマーケティング事業において、テクノロジーを基軸と し、アドテクノロジー事業、アドバタイジングクラウド事業、マーケティングクラウド事業、制作 運営事業等、総合的なソリューションをクライアントに提供しています。 10 アドテクノロジー事業 広告事業 WOOZ (Glossom株式会社) アドフリくん (株式会社ADFULLY)

    GREE Ads Reward (Glossom株式会社) 制作運営事業 アドバタイジングクラウド事業 GREE Ads DSP (Glossom株式会社) GREE Advertising （グリーアドバタイジング株式会社) AdCorsa （Glossom株式会社） マーケティングクラウド事業 QUANT (クオント株式会社)

11. 2. これまでの振り返り

12. Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"をしてみる 2012

    2013 2014 2015 2016 2017 1.黎明期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期：セキュリティ荒野が広がる混沌の時代 2. 導入期：山積するセキュリティ課題に対処した初期の時代 3. 安定期：表面上は平穏が保たれていた時代 4. 再定義期：大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

13. 黎明期 セキュリティ荒野が広がる混沌の時代

14. 広がる荒野

15. Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012

    2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期：セキュリティ荒野が広がる混沌の時代 2. 導入期：山積するセキュリティ課題に対処した初期の時代 3. 安定期：表面上は平穏が保たれていた時代 4. 再定義期：大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

16. 時代背景、状況 • 会社は急成長も業績は天井を打 つ • 組織的なセキュリティ体制はな い • 多くの従業員はセキュリティを 気にしていない

    • 個々人の温度感やスキルの違い が大きく、各所でのセキュリテ ィレベルが違う 黎明期 - セキュリティ荒野広がる混沌の時代

17. 導入期 山積するセキュリティ課題に対処した初期の時代

18. 山積する課題

19. Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012

    2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期：セキュリティ荒野が広がる混沌の時代 2. 導入期：山積するセキュリティ課題に対処した初期の時代 3. 安定期：表面上は平穏が保たれていた時代 4. 再定義期：大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

20. 時代背景、状況 • 業績が下降に転じる • 組織的なセキュリティ体制が徐 々に形になってくる • 従業員にセキュリティ意識が浸 透してくる •

    可視化が進み各所で課題が顕在 化してくる 導入期 - 山積するセキュリティ課題に対処した初期の時代

21. 安定期 表面上は平穏が保たれていた時代

22. 見せかけの安定

23. Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012

    2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期：セキュリティ荒野が広がる混沌の時代 2. 導入期：山積するセキュリティ課題に対処した初期の時代 3. 安定期：表面上は平穏が保たれていた時代 4. 再定義期：大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

24. 時代背景、状況 • 業績の低迷が長期化 • ISMS認証(ISO/IEC 27001)を取 得し組織的なセキュリティ体制 が形になる • 従業員にセキュリティ意識が浸

    透 • 一定のレベルまではセキュリテ ィ対策が行われた雰囲気に 安定期 - 表面上は平穏が保たれていた時代

25. 時代背景、状況 • 業績が底を打ち反転、新規事業 も展開が始まる • 組織的なセキュリティ体制を安 定運用（マンネリ化） • セキュリティ意識に油断 •

    一定のレベルまではセキュリテ ィ対策が行われているので大丈 夫なはず 安定期 - 2016年ころ

26. 2016年12月 安定期の終焉

27. 噴火確認

28. インシデントの発生 - サーバーへの不正アクセス プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html

29. 再定義期 大幅にセキュリティを見直した時代

30. 再設計

31. Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012

    2013 2014 2015 2016 2017 1. 黎明 期 2.導入期 3.安定期 4.再定義期 グリー セキュリティ年表 1. 黎明期：セキュリティ荒野が広がる混沌の時代 2. 導入期：山積するセキュリティ課題に対処した初期の時代 3. 安定期：表面上は平穏が保たれていた時代 4. 再定義期：大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

32. 時代背景、状況 • 業績はダウントレンドを脱する • インシデント対応の体制を見直 し • インシデントを受けて教育研修 やアナウンスを強化 •

    再侵害を受けないよう全方位で 対応強化 再定義期 - 大幅にセキュリティを見直した時代

33. “トレードオフ”あるある 3. 各時代における

34. 時代背景、状況 • 業績が下降に転じる • 組織的なセキュリティ体制が徐 々に形になってくる • 従業員にセキュリティ意識が浸 透してくる •

    可視化が進み各所で課題が顕在 化してくる 導入期 - 山積するセキュリティ課題に対処した初期の時代

35. ありがち“トレードオフ” • 質的にも、量的にも人員が不足 し、どう組織を強化していくか が悩ましい ゴール設定、アプローチ • 千里の道も一歩から ◦ 特効薬はないものと心得る

    ◦ 持続可能性を意識する ◦ 一歩一歩現場での経験値を上げ ていく ◦ 組織が機能し成熟するには時間 がかかる • どうにかして人員を確保する ◦ セキュリティ未経験者歓迎 ◦ 兼務でも御の字 ◦ プロジェクト化、ワーキンググ ループ化、バーチャル組織化す ることで人を巻き込む 導入期 - 山積するセキュリティ課題に対処した初期の時代

36. ありがち“トレードオフ” • 課題・問題が多過ぎて「あちら を立てればこちらが立たず」が 頻発 ゴール設定、アプローチ • 全方位作戦を避ける ◦ オフィスとサービス

    ◦ ポリシーとインプリ ◦ 技術と非技術 • プロジェクト化 ◦ ゴール明確に ◦ 先送りせずフェーズ化する ◦ スモールスタート、スモールゴ ールを積み重ねる 導入期 - 山積するセキュリティ課題に対処した初期の時代

37. 時代背景、状況 • 業績の低迷が長期化 • ISMS認証を取得し組織的なセ キュリティ体制が形になる • 従業員にセキュリティ意識が浸 透 •

    一定のレベルまではセキュリテ ィ対策が行われた雰囲気に 安定期 - 表面上は平穏が保たれていた時代

38. ありがちな“トレードオフ” • 予算は減るけど、セキュリティ レベルは下げないでくれ ◦ 前例踏襲 ◦ 昨年並み ◦ 現状維持

    ゴール設定、アプローチ • セキュリティ機能を1つの部門 に集約 ◦ ワンストップサービス • コスト減らしながらも現状維持 は死守 ◦ 効率化、削減といったキーワー ドで組織的に業務改善 ◦ ベンダさんとの飽くなき単価交 渉、工数圧縮交渉 安定期 - 表面上は平穏が保たれていた時代

39. 時代背景、状況 • 業績が底を打ち反転、新規事業 も展開が始まる • 組織的なセキュリティ体制を安 定運用（マンネリ化） • セキュリティ意識に油断 •

    一定のレベルまではセキュリテ ィ対策が行われているので大丈 夫なはず 安定期 - 2016年ころ

40. ありがちな“トレードオフ” • 緊急だが重要でない・重要だが 緊急でない ◦ 緊急案件は減ってくる ◦ 重要案件は積みあがっていく ゴール設定、アプローチ •

    現状維持は後退の始まり ◦ 脅威は待ってくれない ◦ テクノロジーも進化していく • 緊急でない、を疑う ◦ 転ばぬ先の杖 ◦ 事後対応を準備するのも立派な 対策 安定期 - 表面上は平穏が保たれていた時代

41. 時代背景、状況 • 業績はダウントレンドを脱する • インシデント対応の体制を見直 し • インシデントを受けて教育研修 やアナウンスを強化 •

    再侵害を受けないよう全方位で 対応強化 再定義期 - 大幅にセキュリティを見直した時代

42. ありがちな“トレードオフ” • インシデント対応はトレードオ フの連続 ◦ 火消しか、調査か、公表か、次 の手は、専門家呼ぶか、etc.... ◦ 最悪の状況は、被害は、再発し ないのか、etc....

    ゴール設定、アプローチ • もっと準備しておけば、という 後悔の念を抱きつつも、コント ロールできることにフォーカス ◦ まずはインシデントをコントロ ール下に置く ◦ イニシアティブを失わないよう に ◦ 期限は先に自分で切る • 初動の72時間はとても大事 ◦ その後の継続可能性も大事 再定義期 - 大幅にセキュリティを見直した時代

43. ありがちな“トレードオフ” • インシデント後の活動、過去の 資産・遺産を活かすか捨てるか • 再発防止をどこまでやるか ゴール設定、アプローチ • 一夜にしてルールが変わったこ とを認識する

    ◦ 過去のしがらみ、歴史的経緯を 覆すチャンス • 鉄は熱いうちに打て ◦ 平時に戻る前に ◦ 再発防止終わるまでは平時では ない 再定義期 - 大幅にセキュリティを見直した時代

44. 4. まとめ

45. 情報セキュリティは終わりなき戦 い 十人十色のセキュリティでいい トレードオフは乗り越えるものなのか 乗り越えられるものなのか

46. 情報セキュリティは 終わりなき戦い • 日々の運用を大事に する • 継続可能性、再現可 能性が大事 • アジリティを保つ

    現状維持＝後退と肝 に銘じる • × 単なる先送り • ◦ フェーズ分け いかに適応、変革、拡張すべきか スケールする組織を目指 す • SPOF減らしていく • スケールするルール を策定する ◦ 承認制より届出制 ◦ 集中管理より権限移 譲

47. 今日役に立たなくてもいつか役に立つかも 同じセキュリティという仕事に携わる者として、 何か一つでも持ち帰っていただければ幸いです さいごに 情報セキュリティは終わりなき戦い

48. ご清聴ありがとうございました！ 奥村 祐則 / Masanori OKUMURA [email protected]

49. インターネットを通じて、 世界をより良くする。

50. None