Slide 1
Slide 1 text
Copyright © GREE, Inc. All Rights Reserved.
Copyright © GREE, Inc. All Rights Reserved.
グリーのセキュリティ戦略
組織改革成功の秘訣と新たな課題への取り組み
Jul. 2, 2019
奥村 祐則 (Masanori OKUMURA)
【S-6】
Slide 2
Slide 2 text
Copyright © GREE, Inc. All Rights Reserved.
Introduction
奥村 祐則 (Masanori OKUMURA)
グリー株式会社 開発本部 セキュリティ部 部長
GREE-IRT PoC
社歴7年+
セキュリティ専任では1人目の社員
おおよそセキュリティとつく仕事はなんでも
社会人歴は18年くらい
なんだかんだでセキュリティばっかりやってる(エンジニア、コ
ンサル、監査、CSIRT, etc…)
登壇/メディア掲載歴
Internet Week 2014, myNavi, NCAシーサートワークショッ
プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント
フォーラム, Gartner Security & Risk Management Summit
2018 など
(NY times, AERA, 広報しながわ)
2
Slide 3
Slide 3 text
Copyright © GREE, Inc. All Rights Reserved.
https://corp.gree.net/jp/ja/business/
グリーグループ 事業領域
©Wright Flyer Live Entertainment, Inc./©Ficty
Slide 4
Slide 4 text
Copyright © GREE, Inc. All Rights Reserved.
グリー コーポレートミッション
インターネットを通じて、
世界をより良くする。
Slide 5
Slide 5 text
Copyright © GREE, Inc. All Rights Reserved.
グリー 組織図
● いわゆるコーポレートIT部門
● 商用サービスのインフラ部門
● Data Engineering部門
● CS/QA部門
● セキュリティ
開発本部はバックオフィスとは別の本部として独立して存在
コーポレート本部(バッ
クオフィス)
開発本部
(DD)
各事業部門
©Wright Flyer Live Entertainment, Inc./©Ficty
Slide 6
Slide 6 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
分断期1
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
Slide 7
Slide 7 text
Copyright © GREE, Inc. All Rights Reserved.
セキュリティ関連 組織図
● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う
● 2014年にはバックオフィス領域だけでISMS認証を取得
分断期1: バックオフィス・サービスの分断
バックオフィス
(コーポレート)
開発本部
(DD)
各事業部門
Slide 8
Slide 8 text
Copyright © GREE, Inc. All Rights Reserved.
インシデントの発生 - サーバーへの不正アクセス
プレスリリースを打つ大事故
http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
Slide 9
Slide 9 text
Copyright © GREE, Inc. All Rights Reserved.
● セキュリティと言えばセキュリティ部、と認知してもらおう
● エンジニアも非エンジニアも、お互いを認めよう
● フルスタックの原型ができる
統一期:キーワード
「ワンストップ」
Slide 10
Slide 10 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
セキュリティ部 体制
● 2019/07/01時点
セキュリティ
診断チーム
Security Assessment Team
セキュリティ部
Security Unit
奥村 祐則
セキュリティ
推進チーム
Security Operation Team
セキュリティ
エンジニアリングチーム
Security Engineering Team
※エンジニアは兼務者あり、推進チームは業務委託あり
Slide 11
Slide 11 text
Copyright © GREE, Inc. All Rights Reserved.
セキュリティ関連 組織図
● インシデント対応力を一から見直し
● 事業部門とのパイプを強化
再定義期
バックオフィス
(コーポレート)
開発本部
(DD)
各グループ会社・各事業部門
©Wright Flyer Live Entertainment, Inc./©Ficty
Slide 12
Slide 12 text
Copyright © GREE, Inc. All Rights Reserved.
対外的には:
● セキュリティ問い合わせ窓口一本
化による効率化
● オールジャンルセキュリティをア
ピールすることで、今まで拾えな
かった案件捕捉が可能に
(Identification だいじ)
"フルスタック" でよかったこと
「テーラーメイド」を心掛けた:
● 事業も多角化し、全く同じ悩み・課
題を抱えているということはまず
ない
Slide 13
Slide 13 text
Copyright © GREE, Inc. All Rights Reserved.
非エンジニアリング目線では:
● セキュリティ未経験者でもセキュリ
ティ部で活躍出来るように
● エンジニアに近くなったことで
○ 技術的相談
○ 定型作業向けフォーム作成・集計
自動化の依頼
が容易になり、より効率化
"フルスタック" でよかったこと(部内)
エンジニアリング目線では:
● エンジニアリングに注力出来る
○ 最初は未知の相談案件でも、類似
案件のノウハウを貯めて移管
● エンジニアが対面対応するケース
の削減
○ 診断により見つかった脆弱性の連
絡・修正トラッキング
○ 問い合わせ一次対応
● いわゆる渉外(社外・部外)が激
減
○ 診断の内製化に注力できた
○ 診断以外のこともできるようになっ
た(海賊版撲滅CP)
Slide 14
Slide 14 text
Copyright © GREE, Inc. All Rights Reserved.
Copyright © GREE, Inc. All Rights Reserved.
インターネットを通じて、
世界をより良くする。
Slide 15
Slide 15 text
Copyright © GREE, Inc. All Rights Reserved.