Slide 1
Slide 1 text
トレードオフを乗り越えて
民間企業におけるセキュリティ対策の一例
奥村 祐則 / Masanori OKUMURA
グリー株式会社 / GREE, Inc.
July 24, 2018
Slide 2
Slide 2 text
Agenda
1. はじめに
2. これまでの振り返り
a. "時代区分" をしてみる
3. 各時代における "トレードオフ" あるある
a. 導入期:ひととおりはできているはずなのに
b. 安定期:ひととおりは経験したはずなのに
c. 再定義期:新たなゲームのルールは直ちに適用される
4. まとめ
a. トレードオフは乗り越えるものなのか、乗り越えられるものなのか
b. Adopt, Transform, Scale. いかに適応、変革、拡張すべきか
トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例
Slide 3
Slide 3 text
1. はじめに
Slide 4
Slide 4 text
Introduction
奥村 祐則
グリー株式会社 開発本部 セキュリティ部 部長
GREE-IRT POC
社歴6年くらい
セキュリティ専任では1人目の社員
おおよそセキュリティとつく仕事はなんでも
社会人歴は17年くらい
なんだかんだでセキュリティばっかりやってる(エ
ンジニア、コンサル、監査、CSIRT, etc…)
登壇/メディア掲載歴
Internet Week 2014, myNavi, NCAシーサート
ワークショップ, Akamai Edge Japan 2017, 情報
セキュリティマネジメントフォーラム など
(NY times, AERA, 広報しながわ)
スピーカー自己紹介
Slide 5
Slide 5 text
社名 : グリー株式会社
代表者 : 代表取締役会長兼社長 田中 良和
設立 : 2004年12月7日
資本金 : 23億3400万円(2017年6月末現在)
事業内容: ゲーム事業、ライブエンターテインメント事業、メディア事業、広告事業、投資事業
従業員数: 1,429人(グループ全体・2018年3月末現在)
売上高 : 65,369百万円(グループ全体・2017年6月期)
営業利益: 7,997百万円(グループ全体・ 2017年6月期)
会社概要
Slide 6
Slide 6 text
モバイルゲーム事業(グリー)
6
グリーは世界初のモバイルソーシャルゲーム「釣り★スタ」を2007年に公開して以降、さまざまなゲー
ムを開発、運営しています。また、GREE Platformを通じてパートナーさまにもゲームを提供していた
だいたり、自社で開発したゲームを、App Store、Google Play™を通じて配信したり、より多くのお客
さまに楽しんでいただけるよう努めています。
釣り★スタ
探検ドリランド 踊り子クリノッペ ハコニワ
海賊王国コロンブス
モンプラ 戦国キングダム
AKB48ステージファイター
神獄のヴァルハラゲート
BLEACH 卍解バトル ガンダムマスターズ NEWSに恋して
Slide 7
Slide 7 text
モバイルゲーム事業(グループ会社)
7
消滅都市2
戦姫絶唱シンフォギア
XD UNLIMITED
ららマジ
AKB48
ステージファイター2
バトルフェスティバル
株式会社Wright Flyer Studios
株式会社ポケラボ
武器よさらば
SINoALICE
ダンまち
~メモリア・フレーゼ~
アナザーエデン
時空を超える猫
LibraryCross∞
(ライブラリー
クロスインフィニット)
ぷちぐるラブライブ!
Slide 8
Slide 8 text
バーチャルYouTuberに特化したライブエンターテインメント事業です。声優やタレントが3Dア
バターをまとい演じるバーチャルYouTuberを発掘・育成・マネジメントし、動画番組を企画・制
作・配信したり、配信スタジオ・システムを開発・提供したり、資金面でクリエイターやスタート
アップを支援するなど、業界の発展に貢献していきます。
ライブエンターテインメント事業
8
Slide 9
Slide 9 text
グリーは「インターネットを通じて、世界をより良くする。」というミッションのもと、日々の生
活がより豊かになるような事業を幅広く展開しています。サービスやメディアを通じて人々のコミ
ュニケーションを豊かにし、お客さまの毎日をより良いものにしていきます。
メディア事業
9
メディア事業
LIMIA
(リミア株式会社)
MINE
(株式会社3ミニッツ)
ARINE aumo
(アウモ株式会社)
Slide 10
Slide 10 text
グリーでは、インターネットを通じた広告やマーケティング事業において、テクノロジーを基軸と
し、アドテクノロジー事業、アドバタイジングクラウド事業、マーケティングクラウド事業、制作
運営事業等、総合的なソリューションをクライアントに提供しています。
10
アドテクノロジー事業
広告事業
WOOZ
(Glossom株式会社)
アドフリくん
(株式会社ADFULLY)
GREE Ads Reward
(Glossom株式会社)
制作運営事業
アドバタイジングクラウド事業
GREE Ads DSP
(Glossom株式会社)
GREE Advertising
(グリーアドバタイジング株式会社)
AdCorsa
(Glossom株式会社)
マーケティングクラウド事業
QUANT
(クオント株式会社)
Slide 11
Slide 11 text
2. これまでの振り返り
Slide 12
Slide 12 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
"時代区分"をしてみる
2012 2013 2014 2015 2016 2017
1.黎明期 2.導入期 3.安定期 4.再定義期
グリー セキュリティ年表
1. 黎明期:セキュリティ荒野が広がる混沌の時代
2. 導入期:山積するセキュリティ課題に対処した初期の時代
3. 安定期:表面上は平穏が保たれていた時代
4. 再定義期:大幅にセキュリティを見直した時代
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
Slide 13
Slide 13 text
黎明期
セキュリティ荒野が広がる混沌の時代
Slide 14
Slide 14 text
広がる荒野
Slide 15
Slide 15 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
"時代区分"を定義する
2012 2013 2014 2015 2016 2017
1. 黎明
期
2.導入期 3.安定期 4.再定義期
グリー セキュリティ年表
1. 黎明期:セキュリティ荒野が広がる混沌の時代
2. 導入期:山積するセキュリティ課題に対処した初期の時代
3. 安定期:表面上は平穏が保たれていた時代
4. 再定義期:大幅にセキュリティを見直した時代
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
Slide 16
Slide 16 text
時代背景、状況
● 会社は急成長も業績は天井を打
つ
● 組織的なセキュリティ体制はな
い
● 多くの従業員はセキュリティを
気にしていない
● 個々人の温度感やスキルの違い
が大きく、各所でのセキュリテ
ィレベルが違う
黎明期 - セキュリティ荒野広がる混沌の時代
Slide 17
Slide 17 text
導入期
山積するセキュリティ課題に対処した初期の時代
Slide 18
Slide 18 text
山積する課題
Slide 19
Slide 19 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
"時代区分"を定義する
2012 2013 2014 2015 2016 2017
1. 黎明
期
2.導入期 3.安定期 4.再定義期
グリー セキュリティ年表
1. 黎明期:セキュリティ荒野が広がる混沌の時代
2. 導入期:山積するセキュリティ課題に対処した初期の時代
3. 安定期:表面上は平穏が保たれていた時代
4. 再定義期:大幅にセキュリティを見直した時代
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
Slide 20
Slide 20 text
時代背景、状況
● 業績が下降に転じる
● 組織的なセキュリティ体制が徐
々に形になってくる
● 従業員にセキュリティ意識が浸
透してくる
● 可視化が進み各所で課題が顕在
化してくる
導入期 - 山積するセキュリティ課題に対処した初期の時代
Slide 21
Slide 21 text
安定期
表面上は平穏が保たれていた時代
Slide 22
Slide 22 text
見せかけの安定
Slide 23
Slide 23 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
"時代区分"を定義する
2012 2013 2014 2015 2016 2017
1. 黎明
期
2.導入期 3.安定期 4.再定義期
グリー セキュリティ年表
1. 黎明期:セキュリティ荒野が広がる混沌の時代
2. 導入期:山積するセキュリティ課題に対処した初期の時代
3. 安定期:表面上は平穏が保たれていた時代
4. 再定義期:大幅にセキュリティを見直した時代
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
Slide 24
Slide 24 text
時代背景、状況
● 業績の低迷が長期化
● ISMS認証(ISO/IEC 27001)を取
得し組織的なセキュリティ体制
が形になる
● 従業員にセキュリティ意識が浸
透
● 一定のレベルまではセキュリテ
ィ対策が行われた雰囲気に
安定期 - 表面上は平穏が保たれていた時代
Slide 25
Slide 25 text
時代背景、状況
● 業績が底を打ち反転、新規事業
も展開が始まる
● 組織的なセキュリティ体制を安
定運用(マンネリ化)
● セキュリティ意識に油断
● 一定のレベルまではセキュリテ
ィ対策が行われているので大丈
夫なはず
安定期 - 2016年ころ
Slide 26
Slide 26 text
2016年12月
安定期の終焉
Slide 27
Slide 27 text
噴火確認
Slide 28
Slide 28 text
インシデントの発生 - サーバーへの不正アクセス
プレスリリースを打つ大事故
http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
Slide 29
Slide 29 text
再定義期
大幅にセキュリティを見直した時代
Slide 30
Slide 30 text
再設計
Slide 31
Slide 31 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
"時代区分"を定義する
2012 2013 2014 2015 2016 2017
1. 黎明
期
2.導入期 3.安定期 4.再定義期
グリー セキュリティ年表
1. 黎明期:セキュリティ荒野が広がる混沌の時代
2. 導入期:山積するセキュリティ課題に対処した初期の時代
3. 安定期:表面上は平穏が保たれていた時代
4. 再定義期:大幅にセキュリティを見直した時代
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
Slide 32
Slide 32 text
時代背景、状況
● 業績はダウントレンドを脱する
● インシデント対応の体制を見直
し
● インシデントを受けて教育研修
やアナウンスを強化
● 再侵害を受けないよう全方位で
対応強化
再定義期 - 大幅にセキュリティを見直した時代
Slide 33
Slide 33 text
“トレードオフ”あるある
3. 各時代における
Slide 34
Slide 34 text
時代背景、状況
● 業績が下降に転じる
● 組織的なセキュリティ体制が徐
々に形になってくる
● 従業員にセキュリティ意識が浸
透してくる
● 可視化が進み各所で課題が顕在
化してくる
導入期 - 山積するセキュリティ課題に対処した初期の時代
Slide 35
Slide 35 text
ありがち“トレードオフ”
● 質的にも、量的にも人員が不足
し、どう組織を強化していくか
が悩ましい
ゴール設定、アプローチ
● 千里の道も一歩から
○ 特効薬はないものと心得る
○ 持続可能性を意識する
○ 一歩一歩現場での経験値を上げ
ていく
○ 組織が機能し成熟するには時間
がかかる
● どうにかして人員を確保する
○ セキュリティ未経験者歓迎
○ 兼務でも御の字
○ プロジェクト化、ワーキンググ
ループ化、バーチャル組織化す
ることで人を巻き込む
導入期 - 山積するセキュリティ課題に対処した初期の時代
Slide 36
Slide 36 text
ありがち“トレードオフ”
● 課題・問題が多過ぎて「あちら
を立てればこちらが立たず」が
頻発
ゴール設定、アプローチ
● 全方位作戦を避ける
○ オフィスとサービス
○ ポリシーとインプリ
○ 技術と非技術
● プロジェクト化
○ ゴール明確に
○ 先送りせずフェーズ化する
○ スモールスタート、スモールゴ
ールを積み重ねる
導入期 - 山積するセキュリティ課題に対処した初期の時代
Slide 37
Slide 37 text
時代背景、状況
● 業績の低迷が長期化
● ISMS認証を取得し組織的なセ
キュリティ体制が形になる
● 従業員にセキュリティ意識が浸
透
● 一定のレベルまではセキュリテ
ィ対策が行われた雰囲気に
安定期 - 表面上は平穏が保たれていた時代
Slide 38
Slide 38 text
ありがちな“トレードオフ”
● 予算は減るけど、セキュリティ
レベルは下げないでくれ
○ 前例踏襲
○ 昨年並み
○ 現状維持
ゴール設定、アプローチ
● セキュリティ機能を1つの部門
に集約
○ ワンストップサービス
● コスト減らしながらも現状維持
は死守
○ 効率化、削減といったキーワー
ドで組織的に業務改善
○ ベンダさんとの飽くなき単価交
渉、工数圧縮交渉
安定期 - 表面上は平穏が保たれていた時代
Slide 39
Slide 39 text
時代背景、状況
● 業績が底を打ち反転、新規事業
も展開が始まる
● 組織的なセキュリティ体制を安
定運用(マンネリ化)
● セキュリティ意識に油断
● 一定のレベルまではセキュリテ
ィ対策が行われているので大丈
夫なはず
安定期 - 2016年ころ
Slide 40
Slide 40 text
ありがちな“トレードオフ”
● 緊急だが重要でない・重要だが
緊急でない
○ 緊急案件は減ってくる
○ 重要案件は積みあがっていく
ゴール設定、アプローチ
● 現状維持は後退の始まり
○ 脅威は待ってくれない
○ テクノロジーも進化していく
● 緊急でない、を疑う
○ 転ばぬ先の杖
○ 事後対応を準備するのも立派な
対策
安定期 - 表面上は平穏が保たれていた時代
Slide 41
Slide 41 text
時代背景、状況
● 業績はダウントレンドを脱する
● インシデント対応の体制を見直
し
● インシデントを受けて教育研修
やアナウンスを強化
● 再侵害を受けないよう全方位で
対応強化
再定義期 - 大幅にセキュリティを見直した時代
Slide 42
Slide 42 text
ありがちな“トレードオフ”
● インシデント対応はトレードオ
フの連続
○ 火消しか、調査か、公表か、次
の手は、専門家呼ぶか、etc....
○ 最悪の状況は、被害は、再発し
ないのか、etc....
ゴール設定、アプローチ
● もっと準備しておけば、という
後悔の念を抱きつつも、コント
ロールできることにフォーカス
○ まずはインシデントをコントロ
ール下に置く
○ イニシアティブを失わないよう
に
○ 期限は先に自分で切る
● 初動の72時間はとても大事
○ その後の継続可能性も大事
再定義期 - 大幅にセキュリティを見直した時代
Slide 43
Slide 43 text
ありがちな“トレードオフ”
● インシデント後の活動、過去の
資産・遺産を活かすか捨てるか
● 再発防止をどこまでやるか
ゴール設定、アプローチ
● 一夜にしてルールが変わったこ
とを認識する
○ 過去のしがらみ、歴史的経緯を
覆すチャンス
● 鉄は熱いうちに打て
○ 平時に戻る前に
○ 再発防止終わるまでは平時では
ない
再定義期 - 大幅にセキュリティを見直した時代
Slide 44
Slide 44 text
4. まとめ
Slide 45
Slide 45 text
情報セキュリティは終わりなき戦
い
十人十色のセキュリティでいい
トレードオフは乗り越えるものなのか
乗り越えられるものなのか
Slide 46
Slide 46 text
情報セキュリティは
終わりなき戦い
● 日々の運用を大事に
する
● 継続可能性、再現可
能性が大事
● アジリティを保つ
現状維持=後退と肝
に銘じる
● × 単なる先送り
● ○ フェーズ分け
いかに適応、変革、拡張すべきか
スケールする組織を目指
す
● SPOF減らしていく
● スケールするルール
を策定する
○ 承認制より届出制
○ 集中管理より権限移
譲
Slide 47
Slide 47 text
今日役に立たなくてもいつか役に立つかも
同じセキュリティという仕事に携わる者として、
何か一つでも持ち帰っていただければ幸いです
さいごに
情報セキュリティは終わりなき戦い
Slide 49
Slide 49 text
インターネットを通じて、
世界をより良くする。
Slide 50
Slide 50 text
No content