トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

トレードオフを乗り越えて民間企業におけるセキュリティ対策の一例奥村祐則 / Masanori OKUMURA グリー株式会社 / GREE,
Inc. July 24, 2018

Agenda 1. はじめに 2. これまでの振り返り a. "時代区分" をしてみる 3. 各時代における
"トレードオフ" あるある a. 導入期：ひととおりはできているはずなのに b. 安定期：ひととおりは経験したはずなのに c. 再定義期：新たなゲームのルールは直ちに適用される 4. まとめ a. トレードオフは乗り越えるものなのか、乗り越えられるものなのか b. Adopt, Transform, Scale. いかに適応、変革、拡張すべきかトレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

1. はじめに

Introduction 奥村祐則グリー株式会社開発本部セキュリティ部部長 GREE-IRT POC 社歴6年くらい
セキュリティ専任では1人目の社員おおよそセキュリティとつく仕事はなんでも社会人歴は17年くらいなんだかんだでセキュリティばっかりやってる（エンジニア、コンサル、監査、CSIRT, etc…）登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショップ, Akamai Edge Japan 2017, 情報セキュリティマネジメントフォーラムなど（NY times, AERA, 広報しながわ）スピーカー自己紹介

社名：グリー株式会社代表者：代表取締役会長兼社長田中良和設立：
2004年12月7日資本金： 23億3400万円（2017年6月末現在）事業内容：ゲーム事業、ライブエンターテインメント事業、メディア事業、広告事業、投資事業従業員数： 1,429人（グループ全体・2018年3月末現在）売上高： 65,369百万円（グループ全体・2017年6月期）営業利益： 7,997百万円（グループ全体・ 2017年6月期）会社概要

モバイルゲーム事業（グリー） 6 グリーは世界初のモバイルソーシャルゲーム「釣り★スタ」を2007年に公開して以降、さまざまなゲームを開発、運営しています。また、GREE Platformを通じてパートナーさまにもゲームを提供していただいたり、自社で開発したゲームを、App Store、Google Play™を通じて配信したり、より多くのお客さまに楽しんでいただけるよう努めています。釣り★スタ
探検ドリランド踊り子クリノッペハコニワ海賊王国コロンブスモンプラ戦国キングダム AKB48ステージファイター神獄のヴァルハラゲート BLEACH 卍解バトルガンダムマスターズ NEWSに恋して

モバイルゲーム事業（グループ会社） 7 消滅都市2 戦姫絶唱シンフォギア XD UNLIMITED ららマジ AKB48 ステージファイター2 バトルフェスティバル
株式会社Wright Flyer Studios 株式会社ポケラボ武器よさらば SINoALICE ダンまち～メモリア・フレーゼ～アナザーエデン時空を超える猫 LibraryCross∞ （ライブラリークロスインフィニット）ぷちぐるラブライブ！

バーチャルYouTuberに特化したライブエンターテインメント事業です。声優やタレントが3Dアバターをまとい演じるバーチャルYouTuberを発掘・育成・マネジメントし、動画番組を企画・制作・配信したり、配信スタジオ・システムを開発・提供したり、資金面でクリエイターやスタートアップを支援するなど、業界の発展に貢献していきます。ライブエンターテインメント事業 8

グリーは「インターネットを通じて、世界をより良くする。」というミッションのもと、日々の生活がより豊かになるような事業を幅広く展開しています。サービスやメディアを通じて人々のコミュニケーションを豊かにし、お客さまの毎日をより良いものにしていきます。メディア事業 9 メディア事業 LIMIA （リミア株式会社） MINE （株式会社３ミニッツ）
ARINE aumo （アウモ株式会社）

グリーでは、インターネットを通じた広告やマーケティング事業において、テクノロジーを基軸とし、アドテクノロジー事業、アドバタイジングクラウド事業、マーケティングクラウド事業、制作運営事業等、総合的なソリューションをクライアントに提供しています。 10 アドテクノロジー事業広告事業 WOOZ (Glossom株式会社) アドフリくん (株式会社ADFULLY)
GREE Ads Reward (Glossom株式会社) 制作運営事業アドバタイジングクラウド事業 GREE Ads DSP (Glossom株式会社) GREE Advertising （グリーアドバタイジング株式会社) AdCorsa （Glossom株式会社）マーケティングクラウド事業 QUANT (クオント株式会社)

2. これまでの振り返り

Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"をしてみる 2012
2013 2014 2015 2016 2017 1.黎明期 2.導入期 3.安定期 4.再定義期グリーセキュリティ年表 1. 黎明期：セキュリティ荒野が広がる混沌の時代 2. 導入期：山積するセキュリティ課題に対処した初期の時代 3. 安定期：表面上は平穏が保たれていた時代 4. 再定義期：大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

黎明期セキュリティ荒野が広がる混沌の時代

広がる荒野

Confidential Copyright © GREE, Inc. All Rights Reserved. "時代区分"を定義する 2012
2013 2014 2015 2016 2017 1. 黎明期 2.導入期 3.安定期 4.再定義期グリーセキュリティ年表 1. 黎明期：セキュリティ荒野が広がる混沌の時代 2. 導入期：山積するセキュリティ課題に対処した初期の時代 3. 安定期：表面上は平穏が保たれていた時代 4. 再定義期：大幅にセキュリティを見直した時代 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

時代背景、状況 • 会社は急成長も業績は天井を打つ • 組織的なセキュリティ体制はない • 多くの従業員はセキュリティを気にしていない
• 個々人の温度感やスキルの違いが大きく、各所でのセキュリティレベルが違う黎明期 - セキュリティ荒野広がる混沌の時代

導入期山積するセキュリティ課題に対処した初期の時代

山積する課題

時代背景、状況 • 業績が下降に転じる • 組織的なセキュリティ体制が徐々に形になってくる • 従業員にセキュリティ意識が浸透してくる •
可視化が進み各所で課題が顕在化してくる導入期 - 山積するセキュリティ課題に対処した初期の時代

安定期表面上は平穏が保たれていた時代

見せかけの安定

時代背景、状況 • 業績の低迷が長期化 • ISMS認証(ISO/IEC 27001)を取得し組織的なセキュリティ体制が形になる • 従業員にセキュリティ意識が浸
透 • 一定のレベルまではセキュリティ対策が行われた雰囲気に安定期 - 表面上は平穏が保たれていた時代

時代背景、状況 • 業績が底を打ち反転、新規事業も展開が始まる • 組織的なセキュリティ体制を安定運用（マンネリ化） • セキュリティ意識に油断 •
一定のレベルまではセキュリティ対策が行われているので大丈夫なはず安定期 - 2016年ころ

2016年12月安定期の終焉

噴火確認

インシデントの発生 - サーバーへの不正アクセスプレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html

再定義期大幅にセキュリティを見直した時代

再設計

時代背景、状況 • 業績はダウントレンドを脱する • インシデント対応の体制を見直し • インシデントを受けて教育研修やアナウンスを強化 •
再侵害を受けないよう全方位で対応強化再定義期 - 大幅にセキュリティを見直した時代

“トレードオフ”あるある 3. 各時代における

時代背景、状況 • 業績が下降に転じる • 組織的なセキュリティ体制が徐々に形になってくる • 従業員にセキュリティ意識が浸透してくる •
可視化が進み各所で課題が顕在化してくる導入期 - 山積するセキュリティ課題に対処した初期の時代

ありがち“トレードオフ” • 質的にも、量的にも人員が不足し、どう組織を強化していくかが悩ましいゴール設定、アプローチ • 千里の道も一歩から ◦ 特効薬はないものと心得る
◦ 持続可能性を意識する ◦ 一歩一歩現場での経験値を上げていく ◦ 組織が機能し成熟するには時間がかかる • どうにかして人員を確保する ◦ セキュリティ未経験者歓迎 ◦ 兼務でも御の字 ◦ プロジェクト化、ワーキンググループ化、バーチャル組織化することで人を巻き込む導入期 - 山積するセキュリティ課題に対処した初期の時代

ありがち“トレードオフ” • 課題・問題が多過ぎて「あちらを立てればこちらが立たず」が頻発ゴール設定、アプローチ • 全方位作戦を避ける ◦ オフィスとサービス
◦ ポリシーとインプリ ◦ 技術と非技術 • プロジェクト化 ◦ ゴール明確に ◦ 先送りせずフェーズ化する ◦ スモールスタート、スモールゴールを積み重ねる導入期 - 山積するセキュリティ課題に対処した初期の時代

時代背景、状況 • 業績の低迷が長期化 • ISMS認証を取得し組織的なセキュリティ体制が形になる • 従業員にセキュリティ意識が浸透 •
一定のレベルまではセキュリティ対策が行われた雰囲気に安定期 - 表面上は平穏が保たれていた時代

ありがちな“トレードオフ” • 予算は減るけど、セキュリティレベルは下げないでくれ ◦ 前例踏襲 ◦ 昨年並み ◦ 現状維持
ゴール設定、アプローチ • セキュリティ機能を1つの部門に集約 ◦ ワンストップサービス • コスト減らしながらも現状維持は死守 ◦ 効率化、削減といったキーワードで組織的に業務改善 ◦ ベンダさんとの飽くなき単価交渉、工数圧縮交渉安定期 - 表面上は平穏が保たれていた時代

時代背景、状況 • 業績が底を打ち反転、新規事業も展開が始まる • 組織的なセキュリティ体制を安定運用（マンネリ化） • セキュリティ意識に油断 •
一定のレベルまではセキュリティ対策が行われているので大丈夫なはず安定期 - 2016年ころ

ありがちな“トレードオフ” • 緊急だが重要でない・重要だが緊急でない ◦ 緊急案件は減ってくる ◦ 重要案件は積みあがっていくゴール設定、アプローチ •
現状維持は後退の始まり ◦ 脅威は待ってくれない ◦ テクノロジーも進化していく • 緊急でない、を疑う ◦ 転ばぬ先の杖 ◦ 事後対応を準備するのも立派な対策安定期 - 表面上は平穏が保たれていた時代

時代背景、状況 • 業績はダウントレンドを脱する • インシデント対応の体制を見直し • インシデントを受けて教育研修やアナウンスを強化 •
再侵害を受けないよう全方位で対応強化再定義期 - 大幅にセキュリティを見直した時代

ありがちな“トレードオフ” • インシデント対応はトレードオフの連続 ◦ 火消しか、調査か、公表か、次の手は、専門家呼ぶか、etc.... ◦ 最悪の状況は、被害は、再発しないのか、etc....
ゴール設定、アプローチ • もっと準備しておけば、という後悔の念を抱きつつも、コントロールできることにフォーカス ◦ まずはインシデントをコントロール下に置く ◦ イニシアティブを失わないように ◦ 期限は先に自分で切る • 初動の72時間はとても大事 ◦ その後の継続可能性も大事再定義期 - 大幅にセキュリティを見直した時代

ありがちな“トレードオフ” • インシデント後の活動、過去の資産・遺産を活かすか捨てるか • 再発防止をどこまでやるかゴール設定、アプローチ • 一夜にしてルールが変わったことを認識する
◦ 過去のしがらみ、歴史的経緯を覆すチャンス • 鉄は熱いうちに打て ◦ 平時に戻る前に ◦ 再発防止終わるまでは平時ではない再定義期 - 大幅にセキュリティを見直した時代

4. まとめ

情報セキュリティは終わりなき戦い十人十色のセキュリティでいいトレードオフは乗り越えるものなのか乗り越えられるものなのか

情報セキュリティは終わりなき戦い • 日々の運用を大事にする • 継続可能性、再現可能性が大事 • アジリティを保つ
現状維持＝後退と肝に銘じる • × 単なる先送り • ◦ フェーズ分けいかに適応、変革、拡張すべきかスケールする組織を目指す • SPOF減らしていく • スケールするルールを策定する ◦ 承認制より届出制 ◦ 集中管理より権限移譲

今日役に立たなくてもいつか役に立つかも同じセキュリティという仕事に携わる者として、何か一つでも持ち帰っていただければ幸いですさいごに情報セキュリティは終わりなき戦い

ご清聴ありがとうございました！奥村祐則 / Masanori OKUMURA [email protected]

インターネットを通じて、世界をより良くする。

トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

More Decks by gree_tech

Other Decks in Technology

Featured

Transcript