What’s Security Engineering Manager?

1 Confidential - Do Not Share What’s Security Engineering Manager?
Akitsugu Ito (@springmoon6)

2 Confidential - Do Not Share 自己紹介 2018 年 10
月メルカリにジョイン。 CISSP。 CSO としてセキュリティチームのマネージャーを務める。主な責任範囲 - セキュリティ戦略の立案とロードマップの策定 - セキュリティ施策の推進 - チームマネジメント LINE、サイバーエージェント、メルカリが語る。最強のセキュリティ組織 https://mercan.mercari.com/entry/2019/02/18/140000 伊藤彰嗣 / Akitsugu Ito CSO (Chief Security Officer)

3 Confidential - Do Not Share Opening チーム紹介

4 Confidential - Do Not Share Mercari Security Team

5 Confidential - Do Not Share Misson Create New Value
with members through security セキュリティを通じてメンバーとともに新しい価値を生み出す

6 Confidential - Do Not Share Value 回避可能なリスクに Go Bold
に取り組む Go Bold with Manageable Risks Professional として説明責任を果たす Be Accountable as a Professional 成功への道をメンバーとともに切り開く Pave the way to Success with members

7 Confidential - Do Not Share Strategy - Experience Focus
Customer Experience Employee Experience お客様にどんな「価値享受」体験が提供できているかお客様にどんな「課題解決」体験が提供できているかメルカリ組織は充分な「成長」体験の場となっているかメルカリ組織内で十分な「連携」体験がなされているか Go Bold All for One Be Professional 「Experience（＝体験）」を検討・判断の中心に据える

8 Confidential - Do Not Share 社内外からの信頼を積み重ね、維持する Code of Conduct
/ 行動規範 - メンバーに対して共感的であり、誠実に活動します - ひとりひとりがオーナーシップを持ち、積極的にアウトプットします - セキュリティが継続可能な状態であることを、説明できるようにします Tenets

9 Confidential - Do Not Share Roadmap Step 3 セキュリティガバナンス体
制の構築が完了新規技術に対する研究が進み、社内外に積極的にアウトプットされている Step 1 開発をセキュリティの視点から支援する体制が整う Blue Team の構築が完了する Step 2 既存セキュリティ技術を用いた資産の保護が完了セキュリティ組織の習熟度が高まり外部組織との意見交換が進むセキュリティガバナンス体制の構築が完了新規技術に関する研究が進み、社内外に積極的にアウトプットされている

10 Confidential - Do Not Share Functions Role / Task
/ Skill

11 Confidential - Do Not Share Role / Task /
Skill Function Role Task Skill

12 Confidential - Do Not Share Roles Product Support Security
Operations Information Security Management Specialist EM / TL

13 Confidential - Do Not Share Tasks - Product Support
Security Testing Security Automation Security Training Incident Response Consulting

14 Confidential - Do Not Share チーム内で共通言語となるスキルセットを整理する - 適宜 SecBok
などを活用 - オンボーディングやトレーニングマテリアルに反映 - 他のチームとのコミュニケーションの際にも活用する各ロールごとに必要となる専門的な知識は Role 内で議論を重ねる - 各ロールの Roadmap から必要な知識を落とし込んでもらう Skill は新たな Task を行うための源でもある - メンバーが「やりたいこと」を支援する「風土」 Skills

15 Confidential - Do Not Share Value との関係性 Function Role
Task Skill All for One Be Pro Go Bold

16 Confidential - Do Not Share What’s Security Manager? 最近の活動

17 Confidential - Do Not Share Manager Mission 互いの専門領域を活かして協働するセキュリティチームは専門性の高い各ドメインの皆さんや、
施策を実施するためのオーナーチームと協働したいと考えます。より密に活動するため、交換留学といった諸制度を進めます。全員がセキュリティ対策にオーナーシップを持つセキュリティ対策は、情報を取り扱う方のみが実施できます。セキュリティチームは各チーム・メンバーがセキュリティ対策を実施するために多方面から支援します。社内外のエンジニアとの協働を促進する “Give & Give” の精神を大事に、社内外のエンジニアと協働します。また社外のお客様やエンジニアに向けて積極的に情報発信し、仲間を増やしていきます。セキュリティを通じてメンバーとともに新たな価値を生みだすチームをリーディングする。社内外に対してセキュリティが継続可能であることを、積極的にアウトプットする。受容可能なリスクを見極める２線と連携して受容可能なリスク水準を明確にし、継続可能なセキュリティ対応を行いますセキュリティ対策について Professinal として説明可能な状態を作り維持する定量的なリスク評価結果に基づいた施策の優先度設定や、ルールの制定根拠を明確にします 1 2 3 ロードマップ達成に向けた自分の役割 Top Priority 3 1 2 3 スキルの可視化と資格の活用セキュリティの各 Role は高度に専門化・体系化されており、併せてスキルセットの体系化が進んでいます。育成や採用を推進するためにベンダー資格を有効に活用していきたく、受験や維持費に対する支援を検討していきたいと考えています。 Need HELP

18 Confidential - Do Not Share • People Management (40%)
• System Risk Manager (10 - 15 %) ◦ Incident Commander ◦ Responsibility to reduce system risk • English Training (5%) • Meeting w/ Managers (5%) • Objective Progress Management (5%) • Others ◦ Make roadmap and various materials ◦ Meeting w/ other teams ◦ Hiring Tasks - Security Engineering Manager

19 Confidential - Do Not Share Calibration Performance Review 今
Q の活動について、事実とアウトプットをマネージャとメンバーで確認するミーティング。 Peer Review 各メンバーの活動について、最低３名からの評価を受ける 360 度フィードバックの一種。 Calibration Performance Review の結果をマネージャーがまとめ、１人３ー５分で経営陣に全員の活動を説明する。結果を受けて、評価者が議論し評価結果が決まる。 Feedback Calibration の結果を受けて、メンバーに対して結果をフィードバックする。マネージャーとメンバーが納得するまで議論を繰り返していく。

20 Confidential - Do Not Share Manager Feedback What is
it? Why? How will it be used? • マネージャーの強みと弱みを理解し、マネージメントレベルを高め、結果を最大化する取り組み • 評価結果はチームメンバーに公開。チーム内でのフィードバックミーティングを行い、問題点を解決する。 • HR は問題解決のための議論を補佐する。 • Q単位で開催されるマネージャー向けの 360 度フィードバック • 全てのマネージャー、ディレクター、執行役員が対象

21 Confidential - Do Not Share Trends for each value/management
function Ans. 2019 Jan. - Mar. 2018 Oct. - Dec. Diff Go Bold 3.94 4.36 -0.42 All For One 4.11 4.31 -0.20 Be Professional 4.32 4.55 -0.23 Roadmap and OKRs 4.15 4.58 -0.43 Task management and assignment 3.93 4.14 -0.21 Utilization and training 4.13 4.22 -0.09 Feedback and communication 4.03 4.50 -0.47 Culture creation 4.10 4.27 -0.17 Demeanor / 振る舞い 4.47 4.78 -0.31

22 Confidential - Do Not Share Items with a large
gap between expectations and current status Items Quo/現状 Expectations/期待 Gap/ギャップ Shares important information in a timely manner 3.73 4.40 -0.67 De-prioritizes anything deemed unnecessary to the team’s success 3.53 4.13 -0.60 Gives me constructive feedback 4.07 4.53 -0.47 Makes decisions based on mid- to long-term goals (roadmap) without fixating on short-term issues 4.00 4.40 -0.40 Clearly explains the context and significance behind decisions 4.20 4.53 -0.33

23 Copyright © 2019 Mercari. All rights reserved. Discuss to
improve • What is the specific thing you want me to leave? ◦ Managerが決める必要があることを減らす ▪ Technical な仕様の決定はエンジニアに任せる ▪ Risk Acceptance Line は Manager が決める ▪ 一定の水準を明確にして、水準に従っている限りは Manager が判断しない ◦ MTG 多すぎる ▪ 結果として MTG で Manager が得た情報が Feedback されるまでに時間がかかる ▪ キックオフと判断が必要となるミーティング以外は参加を控える • What kind of thing is better about the share of information? ◦ MTG 背景 ▪ マネージャーしか知らない情報があることで、結果として時間がかかっている ▪ マネージャーだけで参加するのではなく、メンバーと一緒にミーティングに参加する ◦ 会社全体で起きていることをシェアして欲しい ▪ チーム外との情報格差ができないようにして欲しい

24 Confidential - Do Not Share What’s the Security Engineering
Manager ? バリューの体現者コミュニケーションの結節点

25 Confidential - Do Not Share What’s the Security Engineering
Manager ? https://www.atmarkit.co.jp/ait/articles/1903/29/news017.html 韮

What’s Security Engineering Manager?

What’s Security Engineering Manager?

Akitsugu Ito

More Decks by Akitsugu Ito

Other Decks in Technology

Featured

Transcript

1 Confidential - Do Not Share What’s Security Engineering Manager?

2 Confidential - Do Not Share 自己紹介 2018 年 10

3 Confidential - Do Not Share Opening チーム紹介

4 Confidential - Do Not Share Mercari Security Team

5 Confidential - Do Not Share Misson Create New Value

6 Confidential - Do Not Share Value 回避可能なリスクに Go Bold

7 Confidential - Do Not Share Strategy - Experience Focus

8 Confidential - Do Not Share 社内外からの信頼を積み重ね、維持する Code of Conduct

9 Confidential - Do Not Share Roadmap Step 3 セキュリティガバナンス体

10 Confidential - Do Not Share Functions Role / Task

11 Confidential - Do Not Share Role / Task /

12 Confidential - Do Not Share Roles Product Support Security

13 Confidential - Do Not Share Tasks - Product Support

14 Confidential - Do Not Share チーム内で共通言語となるスキルセットを整理する - 適宜 SecBok

15 Confidential - Do Not Share Value との関係性 Function Role

16 Confidential - Do Not Share What’s Security Manager? 最近の活動

17 Confidential - Do Not Share Manager Mission 互いの専門領域を活かして協働するセキュリティチームは専門性の高い各ドメインの皆さんや、

18 Confidential - Do Not Share • People Management (40%)

19 Confidential - Do Not Share Calibration Performance Review 今

20 Confidential - Do Not Share Manager Feedback What is

21 Confidential - Do Not Share Trends for each value/management

22 Confidential - Do Not Share Items with a large

23 Copyright © 2019 Mercari. All rights reserved. Discuss to

24 Confidential - Do Not Share What’s the Security Engineering

25 Confidential - Do Not Share What’s the Security Engineering