Upgrade to Pro — share decks privately, control downloads, hide ads and more …

23歳。入社したらセキュリティチームを作ることになった。え、しかも4人??

0489f062d7794d72876baa2d90af2a18?s=47 seki
July 06, 2019

 23歳。入社したらセキュリティチームを作ることになった。え、しかも4人??

『君、セキュリティチームの立ち上げヨロシク('ω')ノ』
入社3ヶ月目に誘われた新チーム立ち上げPRJ。
仲間は非実在上司と元上司。戸惑いつつゼロからチーム立ち上げを完遂!
その中で学んだ【若手主導でチームを立ち上げるノウハウ】と【脆弱性診断を内製化する意義】についてお話します。

0489f062d7794d72876baa2d90af2a18?s=128

seki

July 06, 2019
Tweet

Transcript

  1. 23歳。 入社したら セキュリティチームを作ることになった。 え、しかも4人?? GMOインターネット株式会社 セキュリティエンジニア 関 芙美恵 Battle Conference

    Under30 2019
  2. 自己紹介 2 1995/5(0) 誕生 ~ 元気にすくすくと育つ 2011/4(15) 宇部工業高等専門学校入学 2016/3(20) 宇部工業高等専門学校卒業

    2016/4(20) 某SIer入社 :プラットフォーム脆弱性診断業務を担当 2018/6(23) GMOインターネットに転職 2018/9(23) セキュリティチーム立ち上げ着手 2019/1(23) チーム始動 :Webアプリケーション脆弱性診断を担当 関 芙美恵 Battle Conference Under30 2019
  3. 会社紹介 3 すべての人にインターネット Battle Conference Under30 2019

  4. 会社紹介:本社拠点 東京(渋谷)オフィス ・エンジニア ・クリエイティブ ・ビジネス ・コーポレート 福岡(北九州)オフィス ・エンジニア 宮崎オフィス 大阪オフィス

    Battle Conference Under30 2019
  5. ある日 「あ もしもし関さん? 7月にこういうイベントあるんだけど 出れる?話付けといたからよろしく(‘ω’)ノ」 5 Battle Conference Under30 2019

  6. 入社当初の弊社セキュリティの状況(2018/4) ┃ 数年前から入口・出口・内部のセキュリティ対策は インフラ/アプリの開発チームが主導となり継続実施してきた ⚫ 導入はしたけれど、適切な運用や監視ができていないという課題があった ┃ GMOインターネットグループ全体のセキュリティ管理・監査体制の強化を 目的にグループセキュリティ監査室を新設 ┃

    “システム守りの拠点”として北九州小倉にエンジニア地方拠点 を設立 6 ⇒更なる強化対策として、 専門となる「セキュリティ実働部隊」の配置がしたい! Battle Conference Under30 2019
  7. 何も知らない求職中のわたし 「ここで働かせてください!」 7

  8. 「セキュリティやってたの?」 8

  9. 「じゃ よろしく(‘ω’)ノ」 (デジャブだな これ)

  10. 召集メンバー 元上司 元ホスト わたし ドク〇ベエ 非実在上司 @北九州 @渋谷 Battle Conference

    Under30 2019
  11. で何やるの? (セキュリティって範囲が広すぎる)

  12. 定めたミッション ログ分析 システムに対する脅威を 「防御」「発見」する 脆弱性診断 (WebAP診断) システム全体に潜在する 脆弱性を正しく認識し 対応するサイクルを作る =

    リスク 脆弱性 脅威 × 情報資産 × 川口洋氏や外部セキュリティベンダのアドバイスを受けつつ 「セキュリティ実働部隊」としてのチームミッションを策定 Battle Conference Under30 2019
  13. 参考:脆弱性とは Battle Conference Under30 2019

  14. 参考:脆弱性とは Battle Conference Under30 2019

  15. 課題:3つの壁 ・・・ ・・・ ・・・ スキル の壁 WebAP診断やったことある人~? し、死んでる・・・ 量の壁 運用中のサイトが300サイトくらいあって~

    新規開発のサイトもリリース前に全部やってね! 期間は10か月で! 経験の壁 ドク〇ベエ「ドクポンターン!業務設計からだべぇ~」 わたし 「ワタシ社会人3歳 業務設計シラナイ」 Battle Conference Under30 2019
  16. 無 理 無 理 とはいかず

  17. 解決策 17 業務設計 まずは5W1Hの明確化 Why: サイトの脅威状態を 正しく認識する サイクルを実現するために What: 既存300サイト及び

    新規リリースのサイトの WebAP脆弱性診断を Who: セキュリティチームが Where: GMOkitaQの When: 毎年11月末までに How: 有償ツールでの 自動診断+手動診断 を進める Battle Conference Under30 2019
  18. 解決策 業務設計 まずは5W1Hの明確化 • 非実在上司は実在していた! ✓ 上司の頭を使う:1に議論、2に議論、とにかく議論 ✓ 上司の人脈を使う:開発チームとの顔繫ぎ、情報発信 ✓

    上司の盾を使う:偉い人との交渉 • とにかく自分の認識を文字に起こす ⇔メンバーと認識合わせ • 身近なチームを観察する ✓ どのようなミッションをもとに動いているのか? Battle Conference Under30 2019
  19. 参考イメージ:業務プロセス定義(How) Battle Conference Under30 2019

  20. 解決策 WebAP診断 経験者0 10か月で 300サイト+a 未来の自分に期待する 外部ベンダのf2fトレーニング • 事前に着地点を明確にしておく •

    解決の有無にかかわらず発生した疑問は すべてQA表に起こす • まずはやってみる • 数をこなすうちにスピードも技術も向上する(はず) Battle Conference Under30 2019
  21. 参考イメージ:トレーニング着地点の明確化 Battle Conference Under30 2019

  22. 結果 2019年1月からセキュリティチームとして本格始動! 緊急の調査案件にも専門家として声がかかるように! Battle Conference Under30 2019

  23. 結論: セキュリティチーム、 作ろうと思えば作れる

  24. 診断業務を内製化する意義 ┃ 外部セキュリティベンダに任せるより、診断員と開発チームの コミュニケーション速度が速い! ⇒診断準備の円滑化、診断時に生じたエラーの切り分けなど スピーディに対応が可能 ┃ 診断→修正⇔再診断の流れがスムーズに ┃ どのサイトでも「よく検出される脆弱性」がある

    ⇒開発時の共通チェックリストに反映することで 「開発段階からのセキュリティ対策」につながる! Battle Conference Under30 2019
  25. 診断業務を内製化する意義 開発部門 AP開発 セキュリティチーム AP脆弱性診断 (高度なツール) 開発に 集中! 専門知識と 高度なツール

    + 第三者目線で 診断 開発部門 AP脆弱性診断 (無償ツール) AP開発 開発部門が 脆弱性診断 今まで 今年~ Battle Conference Under30 2019
  26. 若手主導でチームを立ち上げるノウハウ ┃ まずは目的地をきっちり決める(チームミッション、トレーニング成果) ┃ 全てを揃えてから進むのではなく、足りないものを拾いながら進む ┃ 偉い大人相手に、若さを武器にグイグイいく ┃ ベンダトレーニングを有効なものにするには:守破離が大切 ⚫

    守:師匠の一挙一動をまねる(通常の進め方を学ぶ) ⚫ 破:違ったやり方を覚え、幅を広げる(効率の良い方法を考える) ⚫ 離:師匠のやり方を超え、独自のノウハウを生み出す(まだまだこれから!) ← (゚ω゚)? Battle Conference Under30 2019
  27. 本経験を通して得たこと ┃ Webアプリケーションの診断スキル ⚫ 今年に入って100サイトくらい診断したので・・・ ┃ 他パートナーからの信用/信頼 ⚫ 一つのチームを業務設計からのレベルで立ち上げたことにより、 「入社3か月の若い子」から「セキュリティチームの関さん」になった

    ┃ 給料 ⚫ 上がった(わーい) ┃ フォロワーシップ ⚫ メンバーがリーダーを能動的に補助する姿勢 ⚫ ミッション達成に向けた意見・提案、目標達成に向けた自律的な行動 Battle Conference Under30 2019
  28. U30の私がなぜ成功したのか? ┃ 偉い大人相手に、若さを武器にグイグイいく ⇒手を上げる文化=声を上げる人の声を聞いてくれる ⇒実力本位(地方拠点、入社年数、学歴、性別、何一つ関係ない) ┃ 未来の自分に期待する、足りないものを拾いながら進む ⇒SKKR精神 S)積極的:前向きに K)協力的:仲間で

    K)肯定的:できるから入る R)楽観的:すべてを良い方向に考える 弊社の特徴 Battle Conference Under30 2019
  29. 総括 『君、セキュリティチームの立ち上げヨロシク(‘ω’)ノ』 と言われたら・・・・ 1.目的地を明確に 2.死ぬことはないのでグイグイ行こう 3.トレーニングは守破離で! Battle Conference Under30 2019

  30. None
  31. 裏話はこちら(近日公開) ホスコン GMO