Upgrade to Pro — share decks privately, control downloads, hide ads and more …

エムスリー セキュリティチーム紹介資料 / Introduction of M3 Securi...

エムスリー セキュリティチーム紹介資料 / Introduction of M3 Security Team

エムスリーのセキュリティチームの紹介資料です。

エムスリーエンジニア公式Xアカウント
https://x.com/m3_engineering

エムスリーテックブログ
https://www.m3tech.blog/

エムスリーYouTubeチャンネル
https://www.youtube.com/@m3techchannel160

エンジニア採用ページ
https://jobs.m3.com/engineer/

M3 Engineering

January 31, 2024
Tweet

More Decks by M3 Engineering

Other Decks in Technology

Transcript

  1. エムスリーにおけるセキュリティの重要性 9 人々の生活に深く関わる 医療分野の情報を保護 医療業界全体でさらなる セキュリティ強化が望まれている 社会貢献性 様々な医療事業ドメインや グローバル化への対応が必要 AWS/GCP/オンプレミス、

    言語/ライブラリなど技術も様々 多種多様な事業と技術 多数のプロダクトで日々 アップデートが繰り返される 常に最新のセキュリティ技術や 知識が求められる環境 圧倒的な開発スピード 経営層もセキュリティの重要性、価値を認識し一緒に推進していける環境
  2. エムスリーのセキュリティ組織とチームの役割 11 ※兼任も在籍 エンジニアリンググループ セキュリティチーム ITサービスグループ セキュリティチーム 主な担当範囲 プロダクトセキュリティ コーポレートセキュリティ

    組織形態 コアチーム+現場担当者 コアチーム 主な職種 セキュリティエンジニア セキュリティマネージャー コーポレートITエンジニア グループ会社の支援 する する
  3. セキュリティチーム業務例 13 方向性を示すだけでなく、自ら手を動かし 継続可能なセキュリティ環境を構築する • セキュリティ対策の立案と推進、チームマネジメント • 各サービスの脆弱性診断、セキュアコードレビュー、ペネトレーションテスト • 全社基盤となるSAMLやOpenID、OAuth2による認証の設計

    • ポイントや決済といったインパクトの大きいシステムの技術的改善 • 発生したインシデントの調査・対応 • Webサービスにおける一般的攻撃ベクタ、XSS、CSRF等の対策 • OWASPガイドラインの正確な理解、最新のセキュリティ情報の入手と分析
  4. 日本IT団体連盟 サイバーインデックス企業評価2023 15 (*)日本IT団体連盟によるサイバーインデックス企業調査2023の公開について https://itrenmei.jp/topics/2023/3749/ より 積極的なセキュリティ活動が評価された • ITコーポレートを含めた高いセキュリティクリアランス  •

    AWSセキュリティGameDay、セキュリティエンジニア サミット等の社内啓蒙活動 • CVEへのcreditといったセキュリティ情報の開示 日経500社トップ12%以内に認定(*) 『優れた取組姿勢および情報開示が確認できた企業』
  5. 栗田博生(CISO) セキュリティベンダ、総合コンサル、 事業会社など幅広い分野でのセキュリ ティ業務を経験した後、エムスリー CISOに就任 Amazon Primeでアニメやドラマを見 るのが日課 Member Interview

    Q. 栗田さんは、なぜエムスリーを選んだんですか? 縁とタイミングですね笑。1度転職した後、CTO山崎さんに「エムスリー戻ってきます か?」と聞かれていたんですが、自分の仕事がキリ良くなったタイミングで、エムス リーの文化やレベルの高さを思い出し、改めてエムスリーで働きたいと再度入社に至り ました。 Q. エムスリーセキュリティチームの面白さは? セキュリティ技術の面白さって、技術を突き詰め自分のレベルを上げて、より高いレベ ルの難しいクイズを解いていく所にあるよなと思っています。エムスリーには100以上 の事業があり「あらゆるクイズが転がっている状態」です。興味の範囲が広く、セキュ リティの話題に何でも挑戦したい人は楽しいと思います! Q. どういう事していきたいですか? 開発の動きが本当に早いので、正に「攻めながら守る」を実現していきたいです。単発 の問題と戦うフェーズから、グループ全体にガバナンスを効かせる所に進みたいとも 思っています。ガイドラインやyamory、Security Playbooksといった事を画策、推進 している最中なので、是非一緒にガツガツ進めたいなって思ってます! 17
  6. 山本 篤 みずほ情報総研、JustSystems、 DeNAでエンジニアを経験。SREチーム やグループ会社でも活動中 Member Interview Q. 山本さんは、なぜエムスリーを選んだんですか? 前職ではマネージャーをやっていて、現場の刺激が欲しいなと思いエムスリーに来ま

    した(笑)。最初はSREとして、今ではセキュリティも兼任してますが、どちらも「現 場の問題に対してちゃんとコードを書く」事が出来ていて、刺激があって良いなと感 じてます。 Q. エムスリーセキュリティチームの面白さは? 元々セキュリティの一般的な知識は知っていて、セキュリティチームが出来ると聞い た時に「興味あります」と言いました。エムスリーはグループ会社も含め、セキュリ ティが非常に重要な立ち位置なのが良いですね。経営会議などでも求められている感 じがします。 Q. どういう事していきたいですか? 「エンジニアリングが好き」な人なら絶対楽しめると思います。話題の中心には、専 門知識やエンジニアリングがあるイメージです。セキュリティの世間一般のイメージ は”守り”、”あら捜し”が強いですが、エムスリーでは手を動かして1エンジニアリン グとして”楽しい”を感じられると思います。 18
  7. テックブログでも積極発信 Gmailのメール認証規制強化 への対応って終わってますか? https://www.m3tech.blog/entry/2023/10/24/ 110000 メールセキュリティ DMARC はてなブックマーク数 805 はてなブログ上で2023年に書かれた

    技術記事のうち最もブックマークされた記事(*) 正しい技術知識を素早く丁寧に届け、 高い価値を生み出していくカルチャー (*) 2023年の「年間総合はてなブログランキング」トップ 100と「はてな匿名ダイアリー」トップ 50を公開しました!  https://blog.hatenablog.com/entry/2023/12/29/120000 より 19
  8. その他テックブログでも技術ナレッジ絶賛公開中!! DMARCの対応って 進んでますか? https://www.m3tech.blog/entry/2023/12/26/ 083000 メールセキュリティ AWS Firewall Manager を導入してみた話

    https://www.m3tech.blog/entry/2021/02/05/ 113000 AWS Firewall Manager セキュリティヘッダ警察です! 既に包囲されている!観念して ヘッダを挿入しなさい! https://www.m3tech.blog/entry/2023/06/13/ 110000 XSS CSRF 社内サービスを一括・即座・ セキュアにリモートワーク開放 した話 https://www.m3tech.blog/entry/2020/09/11/ 110000 VPN Proxy DMARC HTTP MiTM攻撃
  9. エンジニアリングで事業価値を生み出せるセキュリティ組織へ 22 セキュリティチーム4つのチャレンジ 一元化 可視化 自動化 自律化 yamory、自社基盤を 利用し自動スキャンで アセットと脆弱性を一元化

    グループ会社横断の ツールを活用しリスクを 定量的に可視化 レスポンスガイドに 伴ったインシデント 対応の自動化 SIEMやAIにより新技術に 対するセキュリティ 対応を自律化
  10. • セキュリティに関係なく技術が好き、技術を楽しめる • 実 際 のプロダクト 開 発 に 乗

    り 込 み、 開 発 チームや ビジネスチームと協調し改善を行える • 医 療 分 野 という 高 度 な 管 理 が 求 められる 情 報 を 扱う責任感がある セキュリティチームが求める人物像
  11. エンジニア採用ページ https://jobs.m3.com/engineer/ プロダクト紹介ページ https://jobs.m3.com/product/ エムスリーテックブログ https://www.m3tech.blog/ エムスリーをもっと詳しく 24 社員インタビュー https://www.wantedly.com/companies/m3_inc

    VPoE登壇資料 fukabori.fm https://fukabori.fm/episode/59 https://fukabori.fm/episode/60 Connpass公式グループ https://m3-engineer.connpass.com/ エンジニア公式 X https://twitter.com/m3_engin eering エンジニア公式YouTube https://www.youtube.com/channel /UC_DkAOcwgmtQnJLDctci4rQ