Slide 1
Slide 1 text
Copyright © GREE, Inc. All Rights Reserved.
Copyright © GREE, Inc. All Rights Reserved.
"フルスタック"セキュリティ
April 23, 2019
グリー 開発本部 Meetup #4
#GDMeetup
Slide 2
Slide 2 text
Copyright © GREE, Inc. All Rights Reserved.
概要
今回はセキュリティに焦点をあてた勉強会です。
グリーでは、グループ全体の情報セキュリティに関する業務全般を一つの部門「セキュリティ部」が担っています。
プロダクトやサービスのセキュリティ面はもちろんのこと、企業一般において必要とされる社内IT環境のセキュリティ面も守備範囲です。
また、技術的なセキュリティ対策だけでなく、ポリシーやルールの整備、教育、周知、監査といった非技術領域の仕事も同じ部内で実施しています。
本イベントではあらゆる領域、レイヤでのセキュリティを取り扱う”フルスタック"セキュリティ部のご紹介と、そんなフルスタックな環境で働いているエンジニアから、ここ最近
取り組んでいることについていくつかご紹介させていただきます。
本イベントが、参加者の皆様の参考になれば幸いです。
”フルスタック"セキュリティ部のご紹介
技術的なセキュリティ対策からポリシーやルールの整備、教育、周知、監査といった非技術領域までをひとつの部で実施することによるメリット等をお話しします
フルスタックセキュリティエンジニア チームトピック
● RSAカンファレンス行ってきた話
● 脆弱性診断系の話
● その他時間の許す限り言える範囲の何か
Connpass 告知
https://gree.connpass.com/event/124994/
Slide 3
Slide 3 text
Copyright © GREE, Inc. All Rights Reserved.
おしながき
1. はじめに
2. "フルスタック"セキュリティ部について
a. Mission(グリー/DD/セキュリティ)
b. 生い立ち
c. やってよかった!?フルスタック
3. "フルスタック"セキュリティ部におけるエンジニアリング
"フルスタック"セキュリティ
Slide 4
Slide 4 text
Copyright © GREE, Inc. All Rights Reserved.
1. はじめに
Slide 5
Slide 5 text
Copyright © GREE, Inc. All Rights Reserved.
御礼
10連休前のお忙しい中お越しいただきありがとうございます!
5
Slide 6
Slide 6 text
Copyright © GREE, Inc. All Rights Reserved.
Introduction
奥村 祐則 (Masanori OKUMURA)
グリー株式会社 開発本部 セキュリティ部 部長
GREE-IRT PoC
社歴7年くらい
セキュリティ専任では1人目の社員
おおよそセキュリティとつく仕事はなんでも
社会人歴は18年くらい
なんだかんだでセキュリティばっかりやってる(エンジニア、コ
ンサル、監査、CSIRT, etc…)
登壇/メディア掲載歴
Internet Week 2014, myNavi, NCAシーサートワークショッ
プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント
フォーラム, Gartner Security & Risk Management Summit
2018 など
(NY times, AERA, 広報しながわ)
6
Slide 7
Slide 7 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
Slide 8
Slide 8 text
Copyright © GREE, Inc. All Rights Reserved.
What's "フルスタック"セキュリティ
is 何?
Slide 9
Slide 9 text
Copyright © GREE, Inc. All Rights Reserved.
What's "フルスタック"セキュリティ
ではなくて
Slide 10
Slide 10 text
Copyright © GREE, Inc. All Rights Reserved.
Why "フルスタック"セキュリティ
どうしてこうなった
(こうした)か
How to "フルスタック"セキュリティ
を話します!
Slide 11
Slide 11 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
Mission(グリー/DD/セキュリティ)
Slide 12
Slide 12 text
Copyright © GREE, Inc. All Rights Reserved.
Introduction
奥村 祐則 (Masanori OKUMURA)
グリー株式会社 開発本部 セキュリティ部 部長
GREE-IRT PoC
社歴7年くらい
セキュリティ専任では1人目の社員
おおよそセキュリティとつく仕事はなんでも
社会人歴は18年くらい
なんだかんだでセキュリティばっかりやってる(エンジニア、コ
ンサル、監査、CSIRT, etc…)
登壇/メディア掲載歴
Internet Week 2014, myNavi, NCAシーサートワークショッ
プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント
フォーラム, Gartner Security & Risk Management Summit
2018 など
(NY times, AERA, 広報しながわ)
12
Slide 13
Slide 13 text
Copyright © GREE, Inc. All Rights Reserved.
グリー株式会社 / 開発本部 / セキュリティ部
われわれのミッションとは?
Slide 14
Slide 14 text
Copyright © GREE, Inc. All Rights Reserved.
Copyright © GREE, Inc. All Rights Reserved.
インターネットを通じて、
世界をより良くする。
Slide 15
Slide 15 text
Copyright © GREE, Inc. All Rights Reserved.
https://corp.gree.net/jp/ja/business/
事業領域
Slide 16
Slide 16 text
Copyright © GREE, Inc. All Rights Reserved.
開発本部 (DD: Development Division)
DD
Slide 17
Slide 17 text
Copyright © GREE, Inc. All Rights Reserved.
Mission:
技術で事業に貢献する
Slide 18
Slide 18 text
Copyright © GREE, Inc. All Rights Reserved.
セキュリティ部
セキュリティ対策を講じて、事業を守る
Slide 19
Slide 19 text
Copyright © GREE, Inc. All Rights Reserved.
それだけで
いいのか?
Slide 20
Slide 20 text
Copyright © GREE, Inc. All Rights Reserved.
Mission of Security Unit
情報セキュリティ活動を通じて
事業に貢献する
Mission
Slide 21
Slide 21 text
Copyright © GREE, Inc. All Rights Reserved.
Mission of Security Unit
情報セキュリティ活動を通じて
事業に貢献する
Mission
情報セキュリティ活動って??
情報セキュリティ対策じゃないの?
事業を守るのではないの?
Slide 22
Slide 22 text
Copyright © GREE, Inc. All Rights Reserved.
道のりは
ながかった
Slide 23
Slide 23 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
生い立ち
Slide 24
Slide 24 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
フルスタックへの道のり
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
Slide 25
Slide 25 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
生い立ち
~自警団の時代~
Slide 26
Slide 26 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
Slide 27
Slide 27 text
Copyright © GREE, Inc. All Rights Reserved.
組織図(セキュリティ関連)
● 専任のセキュリティ担当はいない
● セキュリティやる人は、いたり、いなかったり
自警団
バックオフィス
(コーポレート)
開発本部
(DD)
各事業部門
Slide 28
Slide 28 text
Copyright © GREE, Inc. All Rights Reserved.
CSIRTロール定義
機能分類 役割名称 業務内容
情報共有
社外PoC:自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携
社内PoC:自組織内連絡担当、
IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携
法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳
ノーティフィケーション担当:自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信
情報収集・分析
リサーチャー:情報収集担当、キュレーター:情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士:脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士:脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト:セキュリティ戦略担当 ソリューションマップ作成、
Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー:CSIRT全体統括 コマンダー:CSIRT全体統括
インシデントマネージャー:インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー:インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター:調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当:優先順位選定担当 事象に対する優先順位の決定
フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
自組織内教育 教育担当:教育・啓発担当 自組織のリテラシー向上、底上げ
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
Slide 29
Slide 29 text
Copyright © GREE, Inc. All Rights Reserved.
● ベストエフォート
● ノーガード戦法も見受けられた
● フルスタックの思想はない
自警団の時代:キーワード
できる人が、できる範囲でやる
Slide 30
Slide 30 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
生い立ち
~黎明期~
Slide 31
Slide 31 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
黎明期
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
Slide 32
Slide 32 text
Copyright © GREE, Inc. All Rights Reserved.
組織図(セキュリティ関連)
専任のセキュリティ担当者が入社!
● 脆弱性診断
● ルールづくり・セキュリティ対策全般・教育・インシデント対応
黎明期
バックオフィス
(コーポレート)
開発本部
(DD)
各事業部門
Slide 33
Slide 33 text
Copyright © GREE, Inc. All Rights Reserved.
CSIRTロール定義
機能分類 役割名称 業務内容
情報共有
社外PoC:自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携
社内PoC:自組織内連絡担当、
IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携
法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳
ノーティフィケーション担当:自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信
情報収集・分析
リサーチャー:情報収集担当、キュレーター:情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士:脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士:脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト:セキュリティ戦略担当 ソリューションマップ作成、
Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー:CSIRT全体統括 コマンダー:CSIRT全体統括
インシデントマネージャー:インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー:インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター:調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当:優先順位選定担当 事象に対する優先順位の決定
フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
自組織内教育 教育担当:教育・啓発担当 自組織のリテラシー向上、底上げ
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
Slide 34
Slide 34 text
Copyright © GREE, Inc. All Rights Reserved.
● どうせ穴だらけなんだからとにかくやる
● 課題がありすぎて常に自転車操業
● フルスタックまでアタマが回らない
黎明期:キーワード
できるところからやる
Slide 35
Slide 35 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
生い立ち
~分断期 1~
Slide 36
Slide 36 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
分断期1
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
Slide 37
Slide 37 text
Copyright © GREE, Inc. All Rights Reserved.
組織図(セキュリティ関連)
● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う
● 2014年にはバックオフィス領域だけでISMS認証を取得
分断期1: バックオフィス・サービスの分断
バックオフィス
(コーポレート)
開発本部
(DD)
各事業部門
Slide 38
Slide 38 text
Copyright © GREE, Inc. All Rights Reserved.
CSIRTロール定義
機能分類 役割名称 業務内容
情報共有
社外PoC:自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携
社内PoC:自組織内連絡担当、
IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携
法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳
ノーティフィケーション担当:自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信
情報収集・分析
リサーチャー:情報収集担当、キュレーター:情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士:脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士:脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト:セキュリティ戦略担当 ソリューションマップ作成、
Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー:CSIRT全体統括 コマンダー:CSIRT全体統括
インシデントマネージャー:インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー:インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター:調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当:優先順位選定担当 事象に対する優先順位の決定
フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
自組織内教育 教育担当:教育・啓発担当 自組織のリテラシー向上、底上げ
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
Slide 39
Slide 39 text
Copyright © GREE, Inc. All Rights Reserved.
● ウチの部門はカンペキを目指せ!
● 他部門は他部門に責任とってもらう
● フルスタックとは程遠く、仕事が内向きになりがち
分断期1:キーワード
ウチはウチ、よそはよそ
Slide 40
Slide 40 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
生い立ち
~分断期 2~
Slide 41
Slide 41 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
分断期2
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
Slide 42
Slide 42 text
Copyright © GREE, Inc. All Rights Reserved.
組織図(セキュリティ関連)
● コーポレートでルール決め、開発本部が旗振りして実装
分断期2: ポリシー・インプリの分断
バックオフィス
(コーポレート)
開発本部
(DD)
各事業部門
Slide 43
Slide 43 text
Copyright © GREE, Inc. All Rights Reserved.
CSIRTロール定義
機能分類 役割名称 業務内容
情報共有
社外PoC:自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携
社内PoC:自組織内連絡担当、
IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携
法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳
ノーティフィケーション担当:自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信
情報収集・分析
リサーチャー:情報収集担当、キュレーター:情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士:脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士:脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト:セキュリティ戦略担当 ソリューションマップ作成、
Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー:CSIRT全体統括 コマンダー:CSIRT全体統括
インシデントマネージャー:インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー:インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター:調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当:優先順位選定担当 事象に対する優先順位の決定
フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
自組織内教育 教育担当:教育・啓発担当 自組織のリテラシー向上、底上げ
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
Slide 44
Slide 44 text
Copyright © GREE, Inc. All Rights Reserved.
● そちらが決めたことはしっかりやりますわ
● いや、でもやり方甘いんじゃない?
● フルスタックとは程遠く、仕事が内向きになりがち
分断期2:キーワード
決めたのはxxx、やったのはxxx
Slide 45
Slide 45 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
生い立ち
~統一期~
Slide 46
Slide 46 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
統一期
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
Slide 47
Slide 47 text
Copyright © GREE, Inc. All Rights Reserved.
組織図(セキュリティ関連)
● 開発本部 / セキュリティ部 にセキュリティ関連の全機能を集約
統一期
バックオフィス
(コーポレート)
開発本部
(DD)
各事業部門
Slide 48
Slide 48 text
Copyright © GREE, Inc. All Rights Reserved.
CSIRTロール定義
機能分類 役割名称 業務内容
情報共有
社外PoC:自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携
社内PoC:自組織内連絡担当、
IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携
法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳
ノーティフィケーション担当:自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信
情報収集・分析
リサーチャー:情報収集担当、キュレーター:情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士:脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士:脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト:セキュリティ戦略担当 ソリューションマップ作成、
Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー:CSIRT全体統括 コマンダー:CSIRT全体統括
インシデントマネージャー:インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー:インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター:調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当:優先順位選定担当 事象に対する優先順位の決定
フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
自組織内教育 教育担当:教育・啓発担当 自組織のリテラシー向上、底上げ
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
Slide 49
Slide 49 text
Copyright © GREE, Inc. All Rights Reserved.
● セキュリティと言えばセキュリティ部、と認知してもらおう
● エンジニアも非エンジニアも、お互いを認めよう
● フルスタックの原型ができる
統一期:キーワード
「ワンストップ」
Slide 50
Slide 50 text
Copyright © GREE, Inc. All Rights Reserved.
祝! 統一
Slide 51
Slide 51 text
Copyright © GREE, Inc. All Rights Reserved.
も、つかの間
Slide 52
Slide 52 text
Copyright © GREE, Inc. All Rights Reserved.
が、
不正
アクセス
Slide 53
Slide 53 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
大規模インシデント
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
不正アクセス
Slide 54
Slide 54 text
Copyright © GREE, Inc. All Rights Reserved.
インシデントの発生 - サーバーへの不正アクセス
プレスリリースを打つ大事故
http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
Slide 55
Slide 55 text
Copyright © GREE, Inc. All Rights Reserved.
もう一度
セキュリティ
Slide 56
Slide 56 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
生い立ち
~再定義期~
Slide 57
Slide 57 text
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
再定義期
1. 自警団 (2011以前
2. 黎明期 (2012くらい
3. 分断期1 バックオフィス・サービスの分断(2013~14くらい
4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで
5. 統一期 (2016後半
6. 大規模インシデント(2016末)
7. 再定義期 真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期 分断期1 分断期2
統一
期
再定義期
Slide 58
Slide 58 text
Copyright © GREE, Inc. All Rights Reserved.
組織図(セキュリティ関連)
● インシデント対応力を一から見直し
● 事業部門とのパイプを強化
再定義期
バックオフィス
(コーポレート)
開発本部
(DD)
各グループ会社・各事業部門
Slide 59
Slide 59 text
Copyright © GREE, Inc. All Rights Reserved.
CSIRTロール定義
機能分類 役割名称 業務内容
情報共有
社外PoC:自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携
社内PoC:自組織内連絡担当、
IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携
法務、渉外、IT部門、広報、各事業部、等々との情報連携 コンプライアンス、法的内容とシステム間の翻訳
ノーティフィケーション担当:自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信
情報収集・分析
リサーチャー:情報収集担当、キュレーター:情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士:脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士:脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト:セキュリティ戦略担当 ソリューションマップ作成、
Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー:CSIRT全体統括 コマンダー:CSIRT全体統括
インシデントマネージャー:インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー:インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター:調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当:優先順位選定担当 事象に対する優先順位の決定
フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
自組織内教育 教育担当:教育・啓発担当 自組織のリテラシー向上、底上げ
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
Slide 60
Slide 60 text
Copyright © GREE, Inc. All Rights Reserved.
● インシデント対応に必要な機能を一から見直し
● グループ会社隅々まで貢献しよう
● フルスタックを目指して
再定義期:キーワード
より早く検知、より速く対応
Slide 61
Slide 61 text
Copyright © GREE, Inc. All Rights Reserved.
2. "フルスタック"セキュリティ部について
やってよかった!?フルスタック
Slide 62
Slide 62 text
Copyright © GREE, Inc. All Rights Reserved.
縦割り組織でいいことは(あんまり)なかった
やってよかった!?フルスタック
事業会社における一つの解ではある(とおもう)
Slide 63
Slide 63 text
Copyright © GREE, Inc. All Rights Reserved.
対外的には:
● セキュリティ問い合わせ窓口一本
化による効率化
● オールジャンルセキュリティをア
ピールすることで、今まで拾えな
かった案件捕捉が可能に
(Identification だいじ)
"フルスタック" でよかったこと
「テーラーメイド」を心掛けた:
● 事業も多角化し、全く同じ悩み・課
題を抱えているということはまず
ない
● 事業に貢献する方法はたくさんあ
る
○ 時には守り
○ 時には懸念点を払拭
○ 時には課題を解決
○ 時にはxxxx
Slide 64
Slide 64 text
Copyright © GREE, Inc. All Rights Reserved.
非エンジニアリング目線では:
● セキュリティ未経験者でもセキュリ
ティ部で活躍出来るように
● エンジニアに近くなったことで
○ 技術的相談
○ 定型作業向けフォーム作成・集計
自動化の依頼
が容易になり、より効率化
"フルスタック" でよかったこと(部内)
エンジニアリング目線では:
● エンジニアリングに注力出来る
○ 最初は未知の相談案件でも、類似
案件のノウハウを貯めて移管
● エンジニアが対面対応するケース
の削減
○ 診断により見つかった脆弱性の連
絡・修正トラッキング
○ 問い合わせ一次対応
● いわゆる渉外(社外・部外)が激
減
○ 診断の内製化に注力できた
○ 診断以外のこともできるようになっ
た(海賊版撲滅CP)
Slide 65
Slide 65 text
Copyright © GREE, Inc. All Rights Reserved.
Mission of Security Unit
情報セキュリティ活動を通じて
事業に貢献する
Mission
情報セキュリティ活動って??
情報セキュリティ対策じゃないの?
事業を守るのではないの?
Slide 66
Slide 66 text
Copyright © GREE, Inc. All Rights Reserved.
Mission of Security Unit
情報セキュリティ活動を通じて
事業に貢献する
Mission
事業に貢献できる方法(活動)は多岐にわたる
事業を守るにとどまらず、事業が抱えるセキュリティ課題を解決する
Slide 67
Slide 67 text
Copyright © GREE, Inc. All Rights Reserved.
3. ”フルスタック”セキュリティ部におけるエンジニアリング
Slide 68
Slide 68 text
Copyright © GREE, Inc. All Rights Reserved.
宣伝
RSA Conferenceに参加しました
https://labs.gree.jp/blog/2019/03/17919/
スマホゲームのセキュリティとWhite box診断のススメ
https://www.jssec.org/dl/20170208_T-4.pdf
Slide 69
Slide 69 text
Copyright © GREE, Inc. All Rights Reserved.
自己紹介
● 池添 徹
● セキュリティ部セキュリティエンジニアリングチーム
● 面白そうなネタに食いつく器用貧乏
Slide 70
Slide 70 text
Copyright © GREE, Inc. All Rights Reserved.
本日のお題
”フルスタック”セキュリティ部におけるエンジニアリング
Slide 71
Slide 71 text
Copyright © GREE, Inc. All Rights Reserved.
”フルスタック”セキュリティ部におけるエンジニアリング
Slide 72
Slide 72 text
Copyright © GREE, Inc. All Rights Reserved.
”フルスタック”セキュリティ部におけるエンジニアリング
あらゆる事象への対応
Slide 73
Slide 73 text
Copyright © GREE, Inc. All Rights Reserved.
あらゆる事象?
所属する組織で発生する
セキュリティっぽい課題
Slide 74
Slide 74 text
Copyright © GREE, Inc. All Rights Reserved.
チーム発足期
「セキュリティチーム発足するから、好きにやって」
「分かりました(とりあえずコード読んで診断するか)」
Slide 75
Slide 75 text
Copyright © GREE, Inc. All Rights Reserved.
組織改編1回目
「次からインフラ部セキュリティチームね。インフラもよろしく」
「分かりました(とりあえず設定見るか)」
「(パッケージ情報収集動いてる。CVEと紐付けやろ)」
「今度IaaS使うから、証跡・監査系ログよろしく」
「分かりました(取得設定作成とsyslogサーバ新設するか)」
「sshアカウント管理なんとかしたい」
「分かりました(LDAP構築しよ)」
Slide 76
Slide 76 text
Copyright © GREE, Inc. All Rights Reserved.
組織改編2回目
「セキュリティ部立ち上げるから色々よろしく」
「診断チーム独立したい」
「ええんちゃう?」
「診断独立したから、他よろしく」
「分かりました」
Slide 77
Slide 77 text
Copyright © GREE, Inc. All Rights Reserved.
インシデント発生
「インシデント発生したから対応しよう」
「分かりました」
「バックドア見つけました。」
「検体解析しm…時間無いので診断チーム任せた」
「OK、C2分かったで」
「OK、C2 DNS監視とFWのログ監視作った」
「フォレンジックで影響範囲分かったで」
「侵入経路と影響範囲大体分かった、一斉駆除やるわ」
Slide 78
Slide 78 text
Copyright © GREE, Inc. All Rights Reserved.
インシデント後
「色々大変だったから色々整備しよう」
「分かりました。」
「SIEM用にアレとフォレンジック用にアレ買ってください」
「承認」
「SIEM立てました」
「フォレンジック何となく分かった」
「SSHにMFA入れたい」
「分かりました。アレ買ってください。」
「(管理システムはOSSで建てよ)」
Slide 79
Slide 79 text
Copyright © GREE, Inc. All Rights Reserved.
インシデント後
「EDR入れよう。AとBどっちが良い?」
「分かりました。触った感じエンジニア的にはBで」
「OK。買った」
「EDRからアラート来た」
「見ます。生ログ見たらFPなんで大丈夫です」
Slide 80
Slide 80 text
Copyright © GREE, Inc. All Rights Reserved.
先日
「RSAカンファレンスの報告とかウケるんですかね?」
「やっぱりそう思う?じゃ、後半パートよろしく」
「…」
Slide 81
Slide 81 text
Copyright © GREE, Inc. All Rights Reserved.
おわかり頂けただろうか
Slide 82
Slide 82 text
Copyright © GREE, Inc. All Rights Reserved.
セキュリティっぽい課題であれば何でもやる
Slide 83
Slide 83 text
Copyright © GREE, Inc. All Rights Reserved.
現在のカバー領域
● 脆弱性診断
○ Web App/Native App/インフラ設定
● インフラ周り
○ エンジニア用認証基盤/監査ログ周り/SIEM運用
● アセスメント
○ 脆弱性管理/脆弱性影響調査
○ システム構築相談
● インシデント対応
○ AV&EDR&SIEMからのアラート対応
■ 影響調査/ログ分析/対処方法検討/対処実施
■ ベンダー対応/マルウェア解析/フォレンジック
Slide 84
Slide 84 text
Copyright © GREE, Inc. All Rights Reserved.
機能分類 役割名称 業務内容
情報収集・分析
リサーチャー:情報収集担当、キュレーター:情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士:脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士:脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト:セキュリティ戦略担当 ソリューションマップ作成、Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー:CSIRT全体統括 コマンダー:CSIRT全体統括
インシデントマネージャー:インシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー:インシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター:調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当:優先順位選定担当 事象に対する優先順位の決定
フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
めっちゃ出来る ちょっと出来る 全然出来ない
現在のカバー領域
Slide 85
Slide 85 text
Copyright © GREE, Inc. All Rights Reserved.
セキュリティエンジニア体制
脆弱性診断チーム
(Web/Native)
セキュリティエンジニアリングチーム
(他全部)
1名兼務
イ
ン
シ
デ
ン
トハ
ン
ド
ラ
ー
SIEM
脆弱性分
析
NW
セキュリティ
フォレンジッ
ク
脆弱性診断
(web/native)
Slide 86
Slide 86 text
Copyright © GREE, Inc. All Rights Reserved.
ふんいきでセキュリティをやり過ぎ
Slide 87
Slide 87 text
Copyright © GREE, Inc. All Rights Reserved.
ふんいきでセキュリティ
● 診断は専門家がいるが、それ以外の分野は専門家不在
● 一方、部門統合に伴い”せきゅりてぃ”案件が爆増
● ”必要なことは何でもやる”のノリで、解決すべく対応開始
● 前例無し案件は都度調査
● ”せきゅりてぃ”案件対応で、Engチームの”フルスタック”化が進む
● 診断以外の謎案件が来る(以下ループ
Slide 88
Slide 88 text
Copyright © GREE, Inc. All Rights Reserved.
課題:やれることは増えたが…
● 定常的な脆弱性診断以外の部分の業務内容が曖昧
● ロール定義が難しい部分をスケールさせることが出来ない
● 人を募集したくても具体性・メッセージ性のある求人が困難
● ”なんか色々やってます。なんか色々出来る人探してます
”
● 間違ってないが…
● 是正するための余裕を生み出すために人が欲しいが(以下ループ
Slide 89
Slide 89 text
Copyright © GREE, Inc. All Rights Reserved.
教訓
● ”フルスタック”は色々触れて楽しい
● ノリで進めるなら、ついてこられる人がいないとそれ自体がリスクに
● ”フルスタック”体制にするなら、相応のエンジニアリソース確保を
Slide 90
Slide 90 text
Copyright © GREE, Inc. All Rights Reserved.
余談
セキュリティ版SRE的な
ロール・呼称があっても良いのではないか
Slide 91
Slide 91 text
Copyright © GREE, Inc. All Rights Reserved.
ご清聴ありがとうございました
Any Questions?
Slide 92
Slide 92 text
Copyright © GREE, Inc. All Rights Reserved.
Copyright © GREE, Inc. All Rights Reserved.
インターネットを通じて、
世界をより良くする。
Slide 93
Slide 93 text
Copyright © GREE, Inc. All Rights Reserved.