Slide 1
Slide 1 text
セキュリティインシデント対応の
体制・運用の試行錯誤
グリー株式会社 シニアエンジニア 小池徹
Slide 2
Slide 2 text
小池徹
2021年4月よりグリー株式会社 セキュリティ部に
所属
アラート・インシデント対応、社内セキュリティ
製品導入、セキュリティ製品運用他ほか、社内セ
キュリティに関するあれこれに携わっている
グリー株式会社 シニアエンジニア
2
Slide 3
Slide 3 text
目次・アジェンダ
● はじめに
● 過去のセキュリティインシデントの話
● 過去のセキュリティインシデントを受けて
● 現在のセキュリティ課題
3
Slide 4
Slide 4 text
はじめに
4
Slide 5
Slide 5 text
セキュリティ運用推進の試行錯誤の話です
以下のような話をしたいと思います
何かの参考になれば幸いです
● グリーに起きたセキュリティインシデント
● セキュリティインシデントに対して実施してきた対策や追加対策
● 現在のセキュリティ課題
5
Slide 6
Slide 6 text
過去のセキュリティインシデントの話
6
Slide 7
Slide 7 text
2016年、こんなことが起きました
● 2016年の年末にゲームサーバ群(商用環境)で、障害のアラートが上が
りました
● 商用環境を運用管理しているインフラチームが調査したところ、心当たり
のないコマンド実行の失敗によるものでした
● インフラチームからセキュリティ部へ連携され調査を進めたところ、サー
バ侵害の疑いが強くなりインシデント発生としてインシデントレスポンス
が開始されました
7
Slide 8
Slide 8 text
過去のセキュリティインシデントを受けて
8
Slide 9
Slide 9 text
インシデントを受けて実施した対策(1)
EDR(Endpoint Detection and Response)の導入
● デバイス管理システムによる配布
● エラー等配布できなかったPC所有者の囲い込み、手動インストール
EDRの運用
● 社内でのアラート対応
● 外部SOC(Security Operation Center)による監視
9
Slide 10
Slide 10 text
インシデントを受けて実施した対策(2)
商用環境へのログイン、接続環境の見直し
● ローカルPCにクレデンシャルを保存させない
● アカウントの権限見直し
● 接続環境の見直し
10
Slide 11
Slide 11 text
インシデントを受けて実施した対策(3)
標的型攻撃訓練メール実施
● メール開封率ではなく、通報率を重視している
● 実際に送信した文面を引用されていたり、AIを使用した文面等が出てきて
おり、文面から見分けをつけるのが難しくなってきている
● 開封したのに通報しない従業員もいるため、課題感がある
11
Slide 12
Slide 12 text
インシデントを受けて実施した対策(4)
従業員教育の強化(セキュリティ部からの情報発信等)
● 社内ポータルにセキュリティ部の活動やお願い事項、セキュリティ対策方
法などの掲載ページの作成
● 教育資料のマンネリ化を防ぐため、教育動画の作成
12
Slide 13
Slide 13 text
追加対策
ガイドライン整備
● 2016年ごろまで、セキュリティ対策はエンジニアのセキュリティリテラ
シーに頼ってきました
● セキュリティ対策の属人化を防ぐ
● セキュリティ対策の根拠の提示
● これらを目的として、明文化されていなかったセキュリティ対策の文書化
を実施しました
13
Slide 14
Slide 14 text
追加対策
脆弱性管理強化(脆弱性スキャナ導入)
● 社内サーバーに対して脆弱性スキャナの定期実行し、アップデート漏れを
なくす事をしています
14
Slide 15
Slide 15 text
追加対策
子会社とのセキュリティ連携強化
● 2016年ごろから比べ企業買収などにより子会社が増えてきました
● 子会社に、セキュリティ担当を配置
○ セキュリティ対策依頼、インシデント対応時の窓口となってもらう
○ 定期的にセキュリティのよろず相談の実施
15
Slide 16
Slide 16 text
追加対策
情報セキュリティ報告書作成
● 定期的に社外向けにセキュリティ対策状況の発信
● 投資家やステークホルダーに対してセキュリティ対策のアピール
● セキュリティ対策の自己確認の実施
16
Slide 17
Slide 17 text
現在の課題
17
Slide 18
Slide 18 text
現在の課題
● 変わり続ける資産の見える化
○ 事業の進捗により、刻々と変わっていく資産(ハードウェア、ソフトウェア、クラウド
サービス等)
○ 導入時のセキュリティチェック申請の推進
○ 事業のスピードや費用とのバランスを考える
● 働き方の変化に対する対応
○ 境界型のセキュリティ対策とゼロトラストの併用
● 新たに出てくる攻撃手法に対する対策
○ 情報収集
18
Slide 19
Slide 19 text
現在の課題
● シャドーIT対策
○ 情報漏洩対策
○ CASB(Cloud Access Security Broker)の運用
● DLP(Data Loss Prevention)日本語対応の難しさ
● 費用対効果
○ 為替の影響や海外ベンダーの値上げ
19
Slide 20
Slide 20 text
現在の課題
● ベストプラクティスを追いかければそれでよいのか?
○ 公のガイドラインは、後追いの部分がある
○ リモートワーク、新しい攻撃手法が出てくる中、ガイドラインにはこれらの対策の評価方
法があまり出てきていない感じがしている
● ゼロトラストの評価をどうするか
○ IP制限がある
● 働き方の変化や、様々な攻撃手法出てきている中で客観的な評価を行うの
が簡単にはいかなくなってきていると感じている
20
Slide 21
Slide 21 text
ご清聴ありがとうございました
21
Slide 22
Slide 22 text
No content