Slide 1

Slide 1 text

GLOBISセキュリティチーム(GSIRT) 株式会社グロービス デジタルプラットフォーム部門 GDP IS チームリーダー 兼 経営管理本部 GHQ IS 永峰 翔 2025年1月28日

Slide 2

Slide 2 text

2 自己紹介 株式会社グロービス 永峰 翔 Sho Nagamine デジタルプラットフォーム部門ISチームリード 兼 経営管理部門ISチーム セキュリティユニットリード 略歴 ・2005年4月 新卒でSIerに入社 ・インフラエンジニア(MF、UNIX、SAP、Oracle等) ・以降事業会社2社で ・インフラエンジニア、ITサービスマネジメント、セキュリティ領域を担当 ・2024年2月 グロービス入社

Slide 3

Slide 3 text

1. グロービスのご紹介 アジェンダ 3 2.GLOBISセキュリティチーム(GSIRT)のご紹介 3.取り組み事例

Slide 4

Slide 4 text

1. グロービスのご紹介 アジェンダ 4 2.GLOBISセキュリティチーム(GSIRT)のご紹介 3.取り組み事例

Slide 5

Slide 5 text

5

Slide 6

Slide 6 text

6

Slide 7

Slide 7 text

7

Slide 8

Slide 8 text

8

Slide 9

Slide 9 text

9

Slide 10

Slide 10 text

1. グロービスのご紹介 アジェンダ 10 2.GLOBISセキュリティチーム(GSIRT)のご紹介 3.取り組み事例

Slide 11

Slide 11 text

GSIRT (GLOBIS Security Incident Response Team) 事業部門 GLOBISマネジメントチーム (Excutive Committee) カンパニーリーダー GCC (Group Compliance Committee) GLOBIS セキュリティチーム(GSIRT) マネジメントチーム直下でGLOBISグループのセキュリティを統括・推進する組織 各事業部門にGSIRT委員をアサインし、事業部門での自律的なセキュリティ対策の推進に伴走しています。 GSIRT 委員 プロダクト チーム 展開・周知 対策依頼 連携 対策推進 11

Slide 12

Slide 12 text

GSIRTの担う機能役割 12 事業部門 GSIRT委員 ➢ ポリシー・規程管理 : グロービスの目指すセキュリティ目標・基準の言語化、浸透 ➢ 戦略・アーキテクチャ : セキュリティ目標の実現に向けた戦略・アーキテクチャの立案・構築 ➢ セキュリティ運用推進 : 各種セキュリティ運用、教育・アウェアネス活動、部門セキュリティ推進支援 ➢ 部門セキュリティ推進 : 部門でのルール・プロセス整備、各種セキュリティ対策の実装推進、 インシデント・レスポンス対応 GSIRT ポリシー・規程管理 セキュリティ戦略・ アーキテクチャ セキュリティ運用推進 部門ルール・対策実施 SOC ※構築中

Slide 13

Slide 13 text

グロービスのカルチャーとセキュリティの考え方 13 カルチャー(グロービス・ウェイ) 性善説に則った自由と自己責任 ルールによる管理主義を可能な限り排除 分権化によるフラットなネットワーク型組織 各部門・各チーム・各人に積極的に権限を移譲し、 各自が主体的に動きながらも、全体として見れば秩 序がある組織を目指す。 セキュリティの考え方 過剰な制御による生産性の低下を避ける 「防御」より「検知/対応/復旧」に重点を置く 「部門最適」と「全体最適」の両立

Slide 14

Slide 14 text

1. グロービスのご紹介 アジェンダ 14 2.GLOBISセキュリティチーム(GSIRT)のご紹介 3.取り組み事例

Slide 15

Slide 15 text

15 セキュリティ対策への取り組み 識別 防御 検知 対応 復旧 ・情報資産管理 ・SBOM ・脆弱性スキャン ・SAST(導入対応中) ・脅威モデリング(今後) ・ASM (今後) 資産・脅威の特定 脅威に対する備え 予兆や異常の 監視・検知 被害の最小化 安全な状態への復旧 レジリエンス ・FW, WAF ・IDS, IPS ・SSO, MFA ・セキュアコーディング (OWASP ASVS) ・CSPM, SSPM(今後) ・EDR, NDR ・SIEM(導入対応中) ・SIEM(導入対応中) ・フォレンジック

Slide 16

Slide 16 text

プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み 16 Continuous Integrations Continuous Monitoring GitHub Advanced Security Yamory GihHub Dependabot 役割・体制・プロセス整備 SOC:リアルタイムモニタリング AWS Security Hub SIEM:ログの分析・脅威検出 Security by Design OWASP ASVS 参考: Software Design 2024年6月号 成功するPSIRTの極意 を元に作成

Slide 17

Slide 17 text

17 価値 負債 期間 時間の経過とともにセキュリティ観点の負債も積み上がりやすい。 コード上 の脆弱性 ライブラリ/FW の脆弱性 OS/MW上 の脆弱性 脆弱性観点の負債 プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み

Slide 18

Slide 18 text

18 価値 負債 期間 静的解析 (GHAS) Yamory Dependabot Yamory OWASP 検証標準 検出 設計・実装 コード上 の脆弱性 ライブラリ/FW の脆弱性 OS/MW上 の脆弱性 脆弱性観点の負債 解消 開発プロセスに組み込むことでセキュリティ負債が積み上がらない仕組みを構築。 プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み

Slide 19

Slide 19 text

19 ✓ 今期SBOMを利用した脆弱性管理と開発チームへのレポート配信による注意喚起を実施。 ✓ 緊急度・影響度の高い脆弱性に対し、自律的な対処を促す活動を行っています。 プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み

Slide 20

Slide 20 text

20 今後の取り組み ✓ SAST – Github Advanced Security の導入・活用方法検討中 ✓ Webアプリ脆弱性の検出・対処をより上流へシフトさせ、 開発生産性と安全性の両立を目指しています。 要件定義 設計 実装 テスト リリース ・SBOM/脆弱性スキャン ・Webアプリ脆弱性診断 SAST 脆弱性検出 ・セキュリティ規程 ・OWASP ASVS 脆弱性検出 shift セキュリティ 要件 feedback プロダクトセキュリティにおけるセキュリティシフトレフトへの取り組み

Slide 21

Slide 21 text

21

Slide 22

Slide 22 text

No content

Slide 23

Slide 23 text

No content