23歳。入社したらセキュリティチームを作ることになった。え、しかも4人??

Transcript

1. 23歳。 入社したら セキュリティチームを作ることになった。 え、しかも4人?? GMOインターネット株式会社 セキュリティエンジニア 関 芙美恵 Battle Conference

   Under30 2019

2. 自己紹介 2 1995/5(0) 誕生 ~ 元気にすくすくと育つ 2011/4(15) 宇部工業高等専門学校入学 2016/3(20) 宇部工業高等専門学校卒業

   2016/4(20) 某SIer入社 ：プラットフォーム脆弱性診断業務を担当 2018/6(23) GMOインターネットに転職 2018/9(23) セキュリティチーム立ち上げ着手 2019/1(23) チーム始動 ：Webアプリケーション脆弱性診断を担当 関 芙美恵 Battle Conference Under30 2019

3. 会社紹介 3 すべての人にインターネット Battle Conference Under30 2019

4. 会社紹介:本社拠点 東京(渋谷)オフィス ・エンジニア ・クリエイティブ ・ビジネス ・コーポレート 福岡(北九州)オフィス ・エンジニア 宮崎オフィス 大阪オフィス

   Battle Conference Under30 2019

5. ある日 「あ もしもし関さん？ 7月にこういうイベントあるんだけど 出れる？話付けといたからよろしく(‘ω’)ノ」 5 Battle Conference Under30 2019

6. 入社当初の弊社セキュリティの状況（2018/4） ┃ 数年前から入口・出口・内部のセキュリティ対策は インフラ/アプリの開発チームが主導となり継続実施してきた ⚫ 導入はしたけれど、適切な運用や監視ができていないという課題があった ┃ GMOインターネットグループ全体のセキュリティ管理・監査体制の強化を 目的にグループセキュリティ監査室を新設 ┃

   “システム守りの拠点”として北九州小倉にエンジニア地方拠点 を設立 6 ⇒更なる強化対策として、 専門となる「セキュリティ実働部隊」の配置がしたい！ Battle Conference Under30 2019

7. 何も知らない求職中のわたし 「ここで働かせてください！」 7

8. 「セキュリティやってたの？」 8

9. 「じゃ よろしく(‘ω’)ノ」 （デジャブだな これ）

10. 召集メンバー 元上司 元ホスト わたし ドク〇ベエ 非実在上司 @北九州 @渋谷 Battle Conference

    Under30 2019

11. で何やるの？ （セキュリティって範囲が広すぎる）

12. 定めたミッション ログ分析 システムに対する脅威を 「防御」「発見」する 脆弱性診断 （WebAP診断） システム全体に潜在する 脆弱性を正しく認識し 対応するサイクルを作る ＝

    リスク 脆弱性 脅威 × 情報資産 × 川口洋氏や外部セキュリティベンダのアドバイスを受けつつ 「セキュリティ実働部隊」としてのチームミッションを策定 Battle Conference Under30 2019

13. 参考：脆弱性とは Battle Conference Under30 2019

14. 参考：脆弱性とは Battle Conference Under30 2019

15. 課題：3つの壁 ・・・ ・・・ ・・・ スキル の壁 WebAP診断やったことある人～？ し、死んでる・・・ 量の壁 運用中のサイトが300サイトくらいあって～

    新規開発のサイトもリリース前に全部やってね！ 期間は10か月で！ 経験の壁 ﾄﾞｸ〇ﾍﾞｴ「ドクポンターン！業務設計からだべぇ～」 わたし 「ワタシ社会人3歳 業務設計シラナイ」 Battle Conference Under30 2019

16. 無 理 無 理 とはいかず

17. 解決策 17 業務設計 まずは5W1Hの明確化 Why: サイトの脅威状態を 正しく認識する サイクルを実現するために What: 既存300サイト及び

    新規リリースのサイトの WebAP脆弱性診断を Who: セキュリティチームが Where: GMOkitaQの When: 毎年11月末までに How: 有償ツールでの 自動診断＋手動診断 を進める Battle Conference Under30 2019

18. 解決策 業務設計 まずは5W1Hの明確化 • 非実在上司は実在していた！ ✓ 上司の頭を使う：1に議論、２に議論、とにかく議論 ✓ 上司の人脈を使う：開発チームとの顔繫ぎ、情報発信 ✓

    上司の盾を使う：偉い人との交渉 • とにかく自分の認識を文字に起こす ⇔メンバーと認識合わせ • 身近なチームを観察する ✓ どのようなミッションをもとに動いているのか？ Battle Conference Under30 2019

19. 参考イメージ：業務プロセス定義（How） Battle Conference Under30 2019

20. 解決策 WebAP診断 経験者0 10か月で 300ｻｲﾄ+a 未来の自分に期待する 外部ベンダのf2fトレーニング • 事前に着地点を明確にしておく •

    解決の有無にかかわらず発生した疑問は すべてQA表に起こす • まずはやってみる • 数をこなすうちにスピードも技術も向上する（はず） Battle Conference Under30 2019

21. 参考イメージ：トレーニング着地点の明確化 Battle Conference Under30 2019

22. 結果 2019年1月からセキュリティチームとして本格始動！ 緊急の調査案件にも専門家として声がかかるように！ Battle Conference Under30 2019

23. 結論： セキュリティチーム、 作ろうと思えば作れる

24. 診断業務を内製化する意義 ┃ 外部セキュリティベンダに任せるより、診断員と開発チームの コミュニケーション速度が速い！ ⇒診断準備の円滑化、診断時に生じたエラーの切り分けなど スピーディに対応が可能 ┃ 診断→修正⇔再診断の流れがスムーズに ┃ どのサイトでも「よく検出される脆弱性」がある

    ⇒開発時の共通チェックリストに反映することで 「開発段階からのセキュリティ対策」につながる！ Battle Conference Under30 2019

25. 診断業務を内製化する意義 開発部門 AP開発 セキュリティチーム AP脆弱性診断 (高度なツール) 開発に 集中！ 専門知識と 高度なツール

    ＋ 第三者目線で 診断 開発部門 AP脆弱性診断 (無償ツール) AP開発 開発部門が 脆弱性診断 今まで 今年～ Battle Conference Under30 2019

26. 若手主導でチームを立ち上げるノウハウ ┃ まずは目的地をきっちり決める（チームミッション、トレーニング成果） ┃ 全てを揃えてから進むのではなく、足りないものを拾いながら進む ┃ 偉い大人相手に、若さを武器にグイグイいく ┃ ベンダトレーニングを有効なものにするには：守破離が大切 ⚫

    守：師匠の一挙一動をまねる（通常の進め方を学ぶ） ⚫ 破：違ったやり方を覚え、幅を広げる（効率の良い方法を考える） ⚫ 離：師匠のやり方を超え、独自のノウハウを生み出す（まだまだこれから！） ← (ﾟωﾟ)？ Battle Conference Under30 2019

27. 本経験を通して得たこと ┃ Webアプリケーションの診断スキル ⚫ 今年に入って100サイトくらい診断したので・・・ ┃ 他パートナーからの信用/信頼 ⚫ 一つのチームを業務設計からのレベルで立ち上げたことにより、 「入社3か月の若い子」から「セキュリティチームの関さん」になった

    ┃ 給料 ⚫ 上がった（わーい） ┃ フォロワーシップ ⚫ メンバーがリーダーを能動的に補助する姿勢 ⚫ ミッション達成に向けた意見・提案、目標達成に向けた自律的な行動 Battle Conference Under30 2019

28. U30の私がなぜ成功したのか？ ┃ 偉い大人相手に、若さを武器にグイグイいく ⇒手を上げる文化＝声を上げる人の声を聞いてくれる ⇒実力本位（地方拠点、入社年数、学歴、性別、何一つ関係ない） ┃ 未来の自分に期待する、足りないものを拾いながら進む ⇒SKKR精神 S）積極的：前向きに K）協力的：仲間で

    K）肯定的：できるから入る R）楽観的：すべてを良い方向に考える 弊社の特徴 Battle Conference Under30 2019

29. 総括 『君、セキュリティチームの立ち上げヨロシク(‘ω’)ノ』 と言われたら・・・・ 1.目的地を明確に 2.死ぬことはないのでグイグイ行こう 3.トレーニングは守破離で！ Battle Conference Under30 2019

30. None

31. 裏話はこちら（近日公開） ホスコン GMO