エムスリー セキュリティチーム紹介資料 / Introduction of M3 Security Team

Transcript

1. エムスリー株式会社 エンジニアリンググループ セキュリティチーム紹介資料 2024/01/31 更新

2. エムスリー株式会社について 2

3. インターネットを活用し、健康で楽しく長生きする人を 1人でも増やし、不必要な医療コストを1円でも減らすこと 3 (※) 2023年10月時点 日本の医師のエムスリー会員率 エムスリーが事業展開している国の数 エムスリーが占める全世界で医師会員の割合 全世界で医師会員合計 17

   カ国 (※) 50 %以上 (※) 650 万人以上 (※) 90 %以上 エムスリー が展開する医療従事者向け情報 サイト「m3.com」は32万人を突破、日本 の医師の9割以上が会員。(※)

4. GoogleやAmazonを超え、医師が最も使うサイトに 出展：（株）社会情報サービスによる郵送調査（2014年） 70%の医師が週一回以上、m3.comを利用 日本の医師の90%以上（30万人以上）が登録する 国内最大級の医療従事者向けポータルサイト、m3.comを運営 4

5. 医師にとって「有用な医薬品の情報源」で MRや文献・論文を抜きM3が1位に 出典: ミクス 2021年2月号　医師が「有用と考える医薬品の情報源」 5

6. Platform × Product 健康で幸せな毎日を もっとよくするために 私たちはプラットフォームとプロダクトの力を用いて様々な医 療課題の解決に取り組んでいます。主に医療従事者に対して アプローチしながらも、同時にその先の一般の方々に対して もサービス提供を行い、総合的に人々の健康的な毎日を少し でも改善することを目指し様々なプロダクトの開発を行ってお

   ります。多くの医療者をユーザーに抱えるエムスリーだからこ そできるやり方で、多くの人々の健康に対して貢献していま す。

7. セキュリティチームとは 7

8. 8 Team Mission プロダクト開発の成功に寄り添い 医療と健康に関わる全てのデータを守る

9. エムスリーにおけるセキュリティの重要性 9 人々の生活に深く関わる 医療分野の情報を保護 医療業界全体でさらなる セキュリティ強化が望まれている 社会貢献性 様々な医療事業ドメインや グローバル化への対応が必要 AWS/GCP/オンプレミス、

   言語/ライブラリなど技術も様々 多種多様な事業と技術 多数のプロダクトで日々 アップデートが繰り返される 常に最新のセキュリティ技術や 知識が求められる環境 圧倒的な開発スピード 経営層もセキュリティの重要性、価値を認識し一緒に推進していける環境

10. セキュリティチームが支援する幅広い組織 10 エンジニアリンググループの 多数の開発チーム エムスリー内の多数の ビジネス組織 国内外の100社以上が集う エムスリーグループ企業 開発チームからグループ企業まで幅広く支援し価値を最大化

11. エムスリーのセキュリティ組織とチームの役割 11 ※兼任も在籍 エンジニアリンググループ セキュリティチーム ITサービスグループ セキュリティチーム 主な担当範囲 プロダクトセキュリティ コーポレートセキュリティ

    組織形態 コアチーム＋現場担当者 コアチーム 主な職種 セキュリティエンジニア セキュリティマネージャー コーポレートITエンジニア グループ会社の支援 する する

12. セキュリティチームの仕事と文化 12

13. セキュリティチーム業務例 13 方向性を示すだけでなく、自ら手を動かし 継続可能なセキュリティ環境を構築する • セキュリティ対策の立案と推進、チームマネジメント • 各サービスの脆弱性診断、セキュアコードレビュー、ペネトレーションテスト • 全社基盤となるSAMLやOpenID、OAuth2による認証の設計

    • ポイントや決済といったインパクトの大きいシステムの技術的改善 • 発生したインシデントの調査・対応 • Webサービスにおける一般的攻撃ベクタ、XSS、CSRF等の対策 • OWASPガイドラインの正確な理解、最新のセキュリティ情報の入手と分析

14. 取組事例 : Yamory OS/MW導入からの対応 14 • オンプレミスサーバにYamoryを新規導入 • 導入後1ヶ月で必要なアップデートを実施し脆弱性対応完了 Yamory導入

    対応強化開始

15. 日本IT団体連盟 サイバーインデックス企業評価2023 15 (*)日本IT団体連盟によるサイバーインデックス企業調査2023の公開について https://itrenmei.jp/topics/2023/3749/ より 積極的なセキュリティ活動が評価された • ITコーポレートを含めた高いセキュリティクリアランス　 •

    AWSセキュリティGameDay、セキュリティエンジニア サミット等の社内啓蒙活動 • CVEへのcreditといったセキュリティ情報の開示 日経500社トップ12%以内に認定(*) 『優れた取組姿勢および情報開示が確認できた企業』

16. セキュリティチームの技術スタック 16 新しい技術導入も大歓迎

17. 栗田博生(CISO) セキュリティベンダ、総合コンサル、 事業会社など幅広い分野でのセキュリ ティ業務を経験した後、エムスリー CISOに就任 Amazon Primeでアニメやドラマを見 るのが日課 Member Interview

    Q. 栗田さんは、なぜエムスリーを選んだんですか？ 縁とタイミングですね笑。1度転職した後、CTO山崎さんに「エムスリー戻ってきます か？」と聞かれていたんですが、自分の仕事がキリ良くなったタイミングで、エムス リーの文化やレベルの高さを思い出し、改めてエムスリーで働きたいと再度入社に至り ました。 Q. エムスリーセキュリティチームの面白さは？ セキュリティ技術の面白さって、技術を突き詰め自分のレベルを上げて、より高いレベ ルの難しいクイズを解いていく所にあるよなと思っています。エムスリーには100以上 の事業があり「あらゆるクイズが転がっている状態」です。興味の範囲が広く、セキュ リティの話題に何でも挑戦したい人は楽しいと思います！ Q. どういう事していきたいですか？ 開発の動きが本当に早いので、正に「攻めながら守る」を実現していきたいです。単発 の問題と戦うフェーズから、グループ全体にガバナンスを効かせる所に進みたいとも 思っています。ガイドラインやyamory、Security Playbooksといった事を画策、推進 している最中なので、是非一緒にガツガツ進めたいなって思ってます！ 17

18. 山本 篤 みずほ情報総研、JustSystems、 DeNAでエンジニアを経験。SREチーム やグループ会社でも活動中 Member Interview Q. 山本さんは、なぜエムスリーを選んだんですか？ 前職ではマネージャーをやっていて、現場の刺激が欲しいなと思いエムスリーに来ま

    した(笑)。最初はSREとして、今ではセキュリティも兼任してますが、どちらも「現 場の問題に対してちゃんとコードを書く」事が出来ていて、刺激があって良いなと感 じてます。 Q. エムスリーセキュリティチームの面白さは？ 元々セキュリティの一般的な知識は知っていて、セキュリティチームが出来ると聞い た時に「興味あります」と言いました。エムスリーはグループ会社も含め、セキュリ ティが非常に重要な立ち位置なのが良いですね。経営会議などでも求められている感 じがします。 Q. どういう事していきたいですか？ 「エンジニアリングが好き」な人なら絶対楽しめると思います。話題の中心には、専 門知識やエンジニアリングがあるイメージです。セキュリティの世間一般のイメージ は”守り”、”あら捜し”が強いですが、エムスリーでは手を動かして1エンジニアリン グとして”楽しい”を感じられると思います。 18

19. テックブログでも積極発信 Gmailのメール認証規制強化 への対応って終わってますか？ https://www.m3tech.blog/entry/2023/10/24/ 110000 メールセキュリティ DMARC はてなブックマーク数 805 はてなブログ上で2023年に書かれた

    技術記事のうち最もブックマークされた記事(*) 正しい技術知識を素早く丁寧に届け、 高い価値を生み出していくカルチャー (*) 2023年の「年間総合はてなブログランキング」トップ 100と「はてな匿名ダイアリー」トップ 50を公開しました！　 https://blog.hatenablog.com/entry/2023/12/29/120000 より 19

20. その他テックブログでも技術ナレッジ絶賛公開中!! DMARCの対応って 進んでますか？ https://www.m3tech.blog/entry/2023/12/26/ 083000 メールセキュリティ AWS Firewall Manager を導入してみた話

    https://www.m3tech.blog/entry/2021/02/05/ 113000 AWS Firewall Manager セキュリティヘッダ警察です！ 既に包囲されている！観念して ヘッダを挿入しなさい！ https://www.m3tech.blog/entry/2023/06/13/ 110000 XSS CSRF 社内サービスを一括・即座・ セキュアにリモートワーク開放 した話 https://www.m3tech.blog/entry/2020/09/11/ 110000 VPN Proxy DMARC HTTP MiTM攻撃

21. セキュリティチームのチャレンジと求める人物像 21

22. エンジニアリングで事業価値を生み出せるセキュリティ組織へ 22 セキュリティチーム4つのチャレンジ 一元化 可視化 自動化 自律化 yamory、自社基盤を 利用し自動スキャンで アセットと脆弱性を一元化

    グループ会社横断の ツールを活用しリスクを 定量的に可視化 レスポンスガイドに 伴ったインシデント 対応の自動化 SIEMやAIにより新技術に 対するセキュリティ 対応を自律化

23. • セキュリティに関係なく技術が好き、技術を楽しめる • 実 際 のプロダクト 開 発 に 乗

    り 込 み、 開 発 チームや ビジネスチームと協調し改善を行える • 医 療 分 野 という 高 度 な 管 理 が 求 められる 情 報 を 扱う責任感がある セキュリティチームが求める人物像

24. エンジニア採用ページ https://jobs.m3.com/engineer/ プロダクト紹介ページ https://jobs.m3.com/product/ エムスリーテックブログ https://www.m3tech.blog/ エムスリーをもっと詳しく 24 社員インタビュー https://www.wantedly.com/companies/m3_inc

    VPoE登壇資料 fukabori.fm https://fukabori.fm/episode/59 https://fukabori.fm/episode/60 Connpass公式グループ https://m3-engineer.connpass.com/ エンジニア公式 X https://twitter.com/m3_engin eering エンジニア公式YouTube https://www.youtube.com/channel /UC_DkAOcwgmtQnJLDctci4rQ

25. https://jobs.m3.com/engineer/ カジュアル面談・応募はこちら プロダクトの内容、技術的な内容 どちらでも気になった場合は気軽にご応募ください！