事業会社におけるセキュリティ・ ITガバナンス強化への道のり

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Copyright coconala Inc. All Rights Reserved. ココナラの情報システム部門の体制 5 従業員200名超の企業としては、充実している …かも？システムプラットフォームグループ情報システムグループインフラ・SREチーム（6名） CSIRTチーム（2名） CITチーム（2名+業務委託2名） - プロダクトインフラの企画〜運用 - モニタリング / インシデントレスポンス - アクセス権限精緻化 - 入社 / 退社対応 - 新デバイス / OS検証・導入

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Copyright coconala Inc. All Rights Reserved. 実際のところ、上場前はどうだったか？ 9 課題の把握が弱く、どの順番で何をすればよいか？が不明確セキュリティに関して、後手後手の状況だった。 ● そもそも「何が課題か？」を正しく認識できていない。 ● リアクティブ的に発生する課題に対しての対応はしているが、もぐらたたきでしかない。 ● セキュリティの全体感を捉えて、体系立てた課題対応を推進する役割がない。

Slide 10

Slide 10 text

Copyright coconala Inc. All Rights Reserved. 上場前はどういう体制でセキュリティと向き合っていたか？ 10 セキュリティエンジニアは不在、兼務で何とか対応 CSIRTを立ち上げたのは上場から半年経過したあと。それまではセキュリティ専門組織はなく、セキュリティエンジニアも不在で、インフラ・SREエンジニアが手の空いたときに対応。プロダクトのグロースを優先するので、もぐらたたきで手一杯。

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関するセキュリティコンサルのアセスメント 12 何ができていて、何ができていないか？の現在地を把握セキュリティだけでなく、内部統制・監査の観点を含めて、現時点でどうなのか？をアセスメントしてもらった。（後述しますが、自社でもアセスメントは定期的に行っています）アセスメント結果を元にまずは何から取り組むべきか？を明確化して、対策を推進した。

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Copyright coconala Inc. All Rights Reserved. ココナラが解決したい IT統制・ガバナンスに関する課題その 1 17 内部脅威の状況の可視化ができていなかった上場当時、ココナラの情報システム部門が立ち上がってまだ1年程度のため、「シャドー IT」が一定数存在していることは把握できたが、全量はわからなかった。情報の不正持出しの経路は多数あり、どこで問題が起きそうなのか？の把握すらできない状況だった。

Slide 18

Slide 18 text

Copyright coconala Inc. All Rights Reserved. ココナラが解決したい IT統制・ガバナンスに関する課題その 2 18 プロアクティブな遮断対応ができていなかった先の課題に紐づくが、可視化ができていない＝何が行われているかがわからない状態だった。（追いかけようと思えば追いかけられるが、ピンポイントは難しい）追いかけようと思ったときにすでに情報が外に出ていっていたら、時すでに遅し。ここを未然に防ぎたかった。

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Copyright coconala Inc. All Rights Reserved. 経営層に対して「どれぐらい必要か？」を説明するハードルが高い 27 投資対効果（ ROI）を定量的に説明することが難しい「万が一、情報漏洩が発生した場合の対応コスト」と「ソリューションの費用」を比較するが、前者の発生確率を正しく説明できないと、合意形成が難しい。「発生確率」を社外インシデント事例などをベースに試算し、経営層に対して説明を実施することで、理解を得た。

Slide 28

Slide 28 text

Copyright coconala Inc. All Rights Reserved. 実運用のイメージ具体化することが難しい 28 導入して終わりではなく、いかに運用するか？がポイントソリューションの導入コストは導入前に正しく見積もれるが、運用コストはなかなか正しく見積もることが難しい。 PoCはしていてもたとえば学習コスト、人員増加・組織改編の頻度 / 規模など考える要素が多い。別のセキュリティ運用を参考にして、運用コストを試算した。

Slide 29

Slide 29 text

Copyright coconala Inc. All Rights Reserved. セキュリティ対策は「早く始めて、早すぎることはない」 29 上場前に焦って付け焼き刃になるのは NG、地に足を付けるどのようなプロダクト・サービスを提供している会社でも、「セキュリティ対策」は必須。必要に迫られてから実施するのではなく、あらかじめ実施が必要なタスクとして見込んでおくことで、焦って優先度の低い対応（緊急だけど重要でない）に時間を取られないようにすることが重要。

Slide 30

Slide 30 text

Slide 31

Slide 31 text

Copyright coconala Inc. All Rights Reserved. ただし、後手後手になるときもあるので、しっかり優先度を見極める 31 時間がないからこそ、本当にやるべきことにフォーカスするセキュリティ対策に使えるリソース（予算、工数、など）は限られるので、取捨選択をしつつ、効率的・効果的に対策を進めることが重要。手当たり次第に対応していくのは悪手なので、緊急度 × 影響度で優先度を見極めて、1つ1つ対応していく。セキュリティ対策に銀の弾丸はない。

Slide 32

Slide 32 text

Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 32 放置すると陳腐化するので、放置しないことが大切攻撃や脅威は日々進化している。一度、セキュリティ対策をして終わりではなく、継続したリファクタリングを行う必要がある。・ソリューションは「導入する」よりも「導入後の運用」が大事・「リアクティブ」な対応だけでなく、「プロアクティブ」な仕掛けが重要

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

ユーザーのストーリーをテクノロジーでサポートするエントリーお待ちしてます！ coconala engineer 採用 https://coconala.co.jp/recruit/engineer https://speakerdeck.com/coconala_hr/coco nala-company-profile-for-engineer

Slide 36

Slide 36 text

Fin