Slide 1

Slide 1 text

Copyright coconala Inc. All Rights Reserved. ココナラのセキュリティ組織の体制・ 役割・今後目指す世界 株式会社ココナラ 川崎 雄太 2025/01/28 セキュリティエンジニアリング最前 線 | 4社の取り組みから見る、これ からのセキュリティ

Slide 2

Slide 2 text

Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太 Yuta Kawasaki @yuta_k0911 株式会社ココナラ Head of Information 🆕 株式会社ココナラテック 執行役員 情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ

Slide 3

Slide 3 text

Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容

Slide 4

Slide 4 text

Copyright coconala Inc. All Rights Reserved. ココナラのセキュリティ部門の仕事内容と 取り組み事例 Chapter 01 4

Slide 5

Slide 5 text

Copyright coconala Inc. All Rights Reserved. セキュリティ業務に関する体制 5 専任者は社内情シス中心で、プロダクトは分業で対応 プロダクト プラットフォーム 情報システム インフラ・ SREチーム (5名) CSIRTチーム (2名) CITチーム (4名) - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化

Slide 6

Slide 6 text

Copyright coconala Inc. All Rights Reserved. 取り組み事例その1:情報セキュリティに関する交通整理 6 何ができていて、何ができていないか?の現在地を把握 セキュリティだけでなく、内部統制・ 監査の観点を含めて、現時点で どうなのか? をアセスメントしても らった。(後述しますが、自社でも アセスメントは定期的に行っていま す) アセスメント結果を元にまずは何 から取り組むべきか? を明確化 して、対策を推進した。

Slide 7

Slide 7 text

Copyright coconala Inc. All Rights Reserved. 取り組み事例その2:情報セキュリティ対策に関するアセスメント定期実施 7 セキュリティ課題の増減によって、対策優先度を決める ※2021年ごろの情報 たとえば、「DDoS攻 撃」や「脆弱性攻撃」が 弱みだったので、対策 を実施。 改善状況を定期的 に可視化し、施策の 優先度を決定。

Slide 8

Slide 8 text

Copyright coconala Inc. All Rights Reserved. 取り組み事例その3:社内情シスのセキュリティソリューション導入 8 会社のフェーズにおけるリスクを先回りして対処 前述のアセスメントの状況を元に最適 な打ち手を検討。 たとえば、以下の課題に対してソ リューションの選定・ PoC・運用設 計・運用を行う。 ・情報持ち出しに対する制御 / トラッキ ングができない ・アカウント改廃の抜け漏れが発生す る

Slide 9

Slide 9 text

Copyright coconala Inc. All Rights Reserved. 取り組み事例その4:プロダクトのセキュリティソリューション導入 9 「餅は餅屋」として、適材適所の対応をする WafCharmにルールの運用を してもらい、そこにマネージド ルールを併用 することで、防 御力をあげる。 SIEMで検知した異常は ルールを自前で更新 し、運 用する。 この3段構えで攻撃対策を実 現している。

Slide 10

Slide 10 text

Copyright coconala Inc. All Rights Reserved. 取り組み事例その5:各種セキュリティモニタリング 10 毎営業日モニタリングを実施し、アクションを創出する 毎営業日17:00時 点の情報で定点確 認(WAFログ以外 も含めて、レポート 作成) 問題があれば、 毎 営業日18:00に集 まり、確認・議論 当日〜翌日以降の アクションを決め て、チケット化 ※↑は定常運用なので、異常が発生した場合は  アラートを発報し、随時調査しています!

Slide 11

Slide 11 text

Copyright coconala Inc. All Rights Reserved. 取り組み事例その6:セキュリティ対策推進に向けた経営層の説得 11 対策費用とインシデント発生時の影響を定量で比較 セキュリティ強化を進めていくた めには、経営層の理解が不可 欠。 「インシデント発生時の対応 費」 > 「セキュリティ対策 費」という構図を経営層に理解 してもらい、体制構築やソリュー ション導入の予算を獲得した。

Slide 12

Slide 12 text

Copyright coconala Inc. All Rights Reserved. 今後の取り組み Chapter 02 12

Slide 13

Slide 13 text

Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関する自社内のアセスメント( 2024年8月末時点) 13 2021年と比較して、弱みだったところを改善した 「DDoS攻撃」や「脆弱 性攻撃」の対策が弱み として認識していたが、 WafCharmの導入 などを進めること で、改善を行うこと ができた! 🎉 さらなる改善をこれか らも進めていく。

Slide 14

Slide 14 text

Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 14 放置すると陳腐化するので、放置しないことが大切 攻撃や脅威は日々進化している。 一度、セキュリティ対策をして終わりでは なく、継続したリファクタリングを行う必要 がある。 ・ソリューションは「導入する」よりも 「導入後の運用」が大事 ・「リアクティブ」な対応だけでなく、 「プロアクティブ」な仕掛けが重要

Slide 15

Slide 15 text

Fin