Oktaを中心とした「セキュリティと利便性を両立させる」Sansanのゼロトラスト

Transcript

1. Sansan株式会社 部署 名前 Oktaを中心とした 「セキュリティと利便性を両立させる」 Sansanのゼロトラスト 2024.09.11

2. 竹脇 竜 Ryu Takewaki Sansan株式会社 情報セキュリティ部 部長 大手携帯キャリアグループでセキュリティエンジニアとしてシス テムセキュリティの強化やセキュリティガバナンス業務に従事。 その後、外資保険会社グループで情報セキュリティ部門の責任者

   ポジションを経て、2018年にメルカリ入社。グループ全体のセ キュリティガバナンス構築に取り組む。 2023年にSansanへ入社。現在は情報セキュリティ部部長として、 Sansanの情報セキュリティ部門を牽引する。

3. 三浦 俊介 Shunsuke Miura Sansan株式会社 コーポレートシステム部 部長 音楽大学作曲科を卒業。グラフィック/WEB制作会社/広告代理店でプ ロデューサーとして広告関連の制作業務に携わった後に、大手EC会 社にてUIUXデザイナーとして新規サービスの立ち上げやグロース、

   金融系ベンチャーにて社長室長、UX部長、システム企画などを担当。 社長室長として業務体験向上や業務オペレーションの自動化を推進す る中で社内システムに興味を持ち、UXデザインの社内領域への応用 に可能性を感じたことがきっかけとなり、2022年1月にSansanへ入 社。 現在コーポレートシステム部長として社内業務改善、ITのシンプル化 を牽引している。
4. None

5. ©Sansan, Inc. 働き方を変えるDXサービス 人や企業との出会いをビジネスチャンスにつなげる「働き方を変えるDXサービス」を提供 ビジネスフローにおけるさまざまな分野でサービスを展開 請求 営業 営業DX 契約 契約DX

   経理DX 法人向けDX SansanのDXサービスの活用で変わる働き方 名刺管理 名刺DX 個人向けDX

6. © Sansan, Inc. Sansanは成長し続けている - 連結売上高が32.8％(※) 成長している。 ※2024年5月期通期決算において連結売上高は前年同期比32.8%増 ※グラフは、各年5月期の売上高（2016年5月期以前は単体売上高、 2017年5月期以降は連結売上高）

7. ©Sansan, Inc. 社員人数規模 5名 約100名 約 1700名 約600名 約50名 ※2024年5月31日時点での従業員数（単体）：1698名

   約 700名以上の 人員拡大 直近3年間で 今後も 採用拡大！ 約1000名

8. © Sansan, Inc. 組織構成の概要 PR、ブランディング、新規事業開発室、グローバルビジネス推進 など その他の部門 エンジニア、研究開発（R&D）、 システム管理、CSIRT など

   技術本部 Contract One Unit Sansan事業部 マーケティング、 インサイドセールス、営業、 カスタマーサクセス ブランディング など Bill One事業部 マーケティング、 インサイドセールス、営業、 カスタマーサクセス ブランディング など Eight事業部 マーケティング、 インサイドセールス、営業、 カスタマーサクセス ブランディング など マーケティング、営業 など 総務・法務、財務・経理など コーポレート本部 採用、労務、育成、制度設計・運用など 人事本部 COO室 ※COO＝Chief Operating Officer

9. 情報セキュリティ部の紹介 情報セキュリティ部 CSIRTグループ（9名） ISMグループ（5名） ログ基盤の構築運用 アラート監視 コーポレートITセキュリティ SOC プロダクトセキュリティ強化 脆弱性診断

   ペネトレーションテスト インシデントレスポンス Trust & Safty Product Security セキュリティポリシー・規程の管理 セキュリティ監査 教育啓発 グループガバナンス リスク管理 情報セキュリティマネジメント ISO27000/27017等の取得・維持 ISMAP LIUの取得維持 認証 ３グループ、４チームで構成されている組織 認証グループ（2名）

10. ©Sansan, Inc. コーポレートシステム部の紹介 - Mission - EXをシンプルにする - Vision -

    社外に誇れるIT環境を作る - Values - Lead the employee - 良いものは活用し、無いものは作る

11. ©Sansan, Inc. コーポレートシステム部の組織体制 社員および外部協力メンバーの約55名（比率50:50）で構成されている組織 コーポレートシステム部 全社IT領域（約30名） 事業IT領域（約25名） システム企画 PJマネジメント 購買・予算管理など

    System Planning インフラ設計・構築、 オフィスネットワーク 設計・構築、 SaaS導入・管理、 SRE等 Platform Engineering システム運用業務改善、 アカウント管理、 デバイス管理、 ヘルプデスク等 IT Service Management Salesforce上のWebアプリケーション Eight業務システムの開発運用、 Gainsightのシステム管理等 Application コーポレート・マーケティン グ用Webサイトのインフラ設 計・構築・運用等 Web Infrastracture

12. 「セキュリティと利便性を両立させる」 Sansanのゼロトラスト

13. ©Sansan, Inc. SansanのPremise (前提) 「セキュリティと利便性を両立させる」 Sansanのカタチ -企業理念-

14. ©Sansan, Inc. Sansanゼロトラストの変遷とOktaの活用 過去：2020〜 Phase １ 現在：2023〜 Phase ２ 未来：2024〜

    Phase ３ 働き方の多様性への 対応 高度なサイバー攻撃へ の対応強化 アカウント 完全集中管理 Okta WIC Okta Device Trust (Okta Workflows) ゼロトラスト の変遷 Okta の活用

15. Phase１ 働き方の多様性への対応

16. ©Sansan, Inc. Sansanでのゼロトラスト導入背景 1. セキュリティ脅威への対応 - サイバー攻撃の高度化に伴い、従来の境界型防御が難しくなった - 会社の急成長や社員数の急増のフェーズで性善説が成り立たなくなった 1.

    環境や多様な働き方への対応 - 各地に拠点が増えてきており柔軟に対応する必要があった - コロナ禍の影響で在宅勤務への切り替えに対応できる環境を構築する必要があった ⇒ ゼロトラスト環境構築へ

17. ©Sansan, Inc. 初期ゼロトラスト構成 ID管理 デバイス管理 マルウェア対策 EDR MDM SIEM ログ基盤

    クラウド サービス 利用者 IDaaS インター ネット 脅威可視化 UEBA

18. ©Sansan, Inc. 認証基盤に関わる課題 1. セキュリティ側面での課題 - 脆弱性の多いオンプレミスADの限界 - 多要素認証がないサービスなどでの認証強度の不足 1.

    利便性/効率性側面での課題 - 従業員の急増によるアカウント管理の煩雑化 - 既存多要素認証方式のユーザビリティーの低さ ⇒ Okta WICを導入へ

19. ©Sansan, Inc. なぜOkta WICを選択したか - 機能の豊富さと柔軟性 - 連携可能なサービスの多さ 現在当社では 66サービス

    と接続中

20. ©Sansan, Inc. Okta WIC導入後の効果 1. セキュリティ側面の効果 - 認証の基盤をオンプレミスADからOktaに移すことで堅牢性を向上させることができた - 多要素認証を必須化し、セキュリティレベルを向上させることができた

    2. 利便性/効率性側面の効果 - Oktaのプロビジョニング機能によりアカウント管理担当者1名分程度の工数削減が実現された - 柔軟な多要素認証対応によってUXをシンプルにし、認証ステップを半分にしてユーザーの利便 性を担保することができた

21. Phase２ 高度なサイバー攻撃への対応強化

22. ©Sansan, Inc. Sansanのペネトレーションテスト Sansanでは毎年、「超本気」のペネトレーションテストを実施し、結果を セキュリティ向上につなげています https://www.itmedia.co.jp/news/articles/2312/11/news172.html

23. ©Sansan, Inc. ペネトレーションテストが突きつけた課題 ペンテストで重要情報にリーチされて判明したこと 高度なフィッシングに対して さらなる対策強化が必要 ④正規サイトからMFA要求 フィッシング サイト ①フィッシングメール

    ②サイトアクセス ③フィッシングサイトが プロキシとして正規サイトを中継 ⑤認証済みセッション を入手してアクセス 課題① 課題② Google Workspace等 各種SaaS 1. 多要素認証を回避してユーザーの認証済みセッ ションを窃取する方法がある 2. 認証済セッション詐取されるとそれを利用して 重要な情報資産へアクセスされる

24. ©Sansan, Inc. - 認証済みのセッションを取られても認証された端末からでなければ重要資 産にはアクセスさせない「端末認証（デバイストラスト）」の仕組みを 導入を決定 より高度なゼロトラスト環境へ 製品検証・比較の結果 Okta Device

    Trust を選定

25. ©Sansan, Inc. なぜOkta Device Trustを選定したか Okta A社 B社 フィシングへの耐性 〇

    △ △ 耐タンパ性の確保 〇 〇 〇 端末衛生による認可制御 〇 〇 △ 不審接続のログ管理 〇 △ △ 導入・運用の容易さ 〇 △ × 年間コスト（導入+ランニング） 〇 ✕ △ - 機能面、コスト面の両方でOktaが最適と判断 - 中間者攻撃の疑いのあるアクセスを検知して通知する機能がある - アクセスの都度、端末状態を認証しセッションの使い回しを制御が可能 - 端末衛生による制御が可能 - すでにOkta WICを導入済みのため機能追加として導入しやすく、コストゼロで対応可能

26. ©Sansan, Inc. Okta Device Trust 導入による効果 重要情報資産（SaaS） 会社PC 攻撃者 Cred

    + MFA Session 重要情報資産（SaaS） 会社PC 攻撃者 Device Trust Session • Okta連携するサービスについて信頼する端末を識別して、高度なフィッシングへの耐性を高めた • 重要情報資産へのアクセス都度、端末状態を認証しセッションの使い回し不可 • パスワードレスによる利便性向上 ( 社員の93% がOkta FastPassにてパスワードレスで利用中) • わずか2か月で全社展開、切替完了 Oktaの認証ができれば全て のアプリが侵害される 認証状態が盗まれると、ど のPCからでも悪用可能 アプリへのアクセス都度、 認証を行う 盗めない証明書で認証、 管理端末外はアクセス不可 Before After Google Workspace等 各種SaaS Google Workspace等 各種SaaS

27. Phase 3 アカウント完全集中管理

28. ©Sansan, Inc. アカウント完全集中管理への課題 Oktaは多くのサービスとの連携を実現しており、当社の認証の基盤となっている 一方で費用対効果が合わないため、Okta認証に集約しきれないケースも増えてきて います 1. Okta連携を使用するためにオプション契約が必要なサービス 2. Okta連携を使用するために上位のライセンスにアップグレードが必要なサー

    ビス ⇒ Oktaとの連携によりITサービスを集中管理できないと セキュリティも利便性も低下するため、ここへの対応が課題

29. ©Sansan, Inc. Okta連携しないサービスについても、Oktaの Worlflowsや内製開発などで一元管理する仕組みを検討中 Okta未連携サービス管理の集約化 サービス群 ログイン SSOログイン 直接ログイン サービス群

    アカウント登録 アカウント作成・削除 アカウント登録 Okta連携しないサービス群 Okta連携するサービス群 Oktaアカウントで管理 アカウント作成・削除 API Okta アカウントを 紐づけて一元管理 Workflows Non Okta ⇒ 上記の仕組みをOkta Workflowsで実現できないか検証中

30. ©Sansan, Inc. アカウント完全集中管理の期待効果 1. セキュリティ側面での効果 - 入退社プロセスにおけるアカウント作成・削除漏れの発生確率が下がる - インシデント発生時のアカウント権限の可視性が向上する 2.

    利便性/効率性側面での効果 - 手作業によるアカウント作成・削除の作業工数が低減される - アカウント管理を集中して行えるのでが作業効率が上がる ⇒ アカウント完全集中管理ができればゼロトラストの理想形にまた一歩近づく

31. 今後の展望

32. ©Sansan, Inc. 今後の展望 1. 事業成長、社員規模の拡大 2. 業務やIT環境を変革し続ける必要性 3. 今後もOktaを活用し「セキュリティと利便性」を向上させていく ⇒

    活動推進のためにIT組織を更に強化中
33. None