What’s Security Engineering Manager?

Transcript

1. 1 Confidential - Do Not Share What’s Security Engineering Manager?

   Akitsugu Ito (@springmoon6)

2. 2 Confidential - Do Not Share 自己紹介 2018 年 10

   月メルカリにジョイン。 CISSP。 CSO としてセキュリティチームのマネージャーを務める。 主な責任範囲 - セキュリティ戦略の立案とロードマップの策定 - セキュリティ施策の推進 - チームマネジメント LINE、サイバーエージェント、メルカリが語る。最強のセキュリ ティ組織 https://mercan.mercari.com/entry/2019/02/18/140000 伊藤 彰嗣 / Akitsugu Ito CSO (Chief Security Officer)

3. 3 Confidential - Do Not Share Opening チーム紹介

4. 4 Confidential - Do Not Share Mercari Security Team

5. 5 Confidential - Do Not Share Misson Create New Value

   with members through security セキュリティを通じてメンバーとともに 新しい価値を生み出す

6. 6 Confidential - Do Not Share Value 回避可能なリスクに Go Bold

   に取り組む Go Bold with Manageable Risks Professional として説明責任を果たす Be Accountable as a Professional 成功への道をメンバーとともに切り開く Pave the way to Success with members

7. 7 Confidential - Do Not Share Strategy - Experience Focus

   Customer Experience Employee Experience お客様にどんな「価値享受」体験が提供できているか お客様にどんな「課題解決」体験が提供できているか メルカリ組織は充分な「成長」体験の場となっているか メルカリ組織内で十分な「連携」体験がなされているか Go Bold All for One Be Professional 「Experience（＝体験）」を検討・判断の中心に据える

8. 8 Confidential - Do Not Share 社内外からの信頼を積み重ね、維持する Code of Conduct

   / 行動規範 - メンバーに対して共感的であり、誠実に活動します - ひとりひとりがオーナーシップを持ち、積極的にアウトプットします - セキュリティが継続可能な状態であることを、説明できるようにします Tenets

9. 9 Confidential - Do Not Share Roadmap Step 3 セキュリティガバナンス体

   制の構築が完了 新規技術に対する研究が 進み、社内外に積極的に アウトプットされている Step 1 開発をセキュリティの視点 から支援する体制が整う Blue Team の構築が完 了する Step 2 既存セキュリティ技術を用 いた資産の保護が完了 セキュリティ組織の習熟度 が高まり外部組織との意見 交換が進む セキュリティガバナンス体制の構築が完了 新規技術に関する研究が進み、社内外に積極的にアウト プットされている

10. 10 Confidential - Do Not Share Functions Role / Task

    / Skill

11. 11 Confidential - Do Not Share Role / Task /

    Skill Function Role Task Skill

12. 12 Confidential - Do Not Share Roles Product Support Security

    Operations Information Security Management Specialist EM / TL

13. 13 Confidential - Do Not Share Tasks - Product Support

    Security Testing Security Automation Security Training Incident Response Consulting

14. 14 Confidential - Do Not Share チーム内で共通言語となるスキルセットを整理する - 適宜 SecBok

    などを活用 - オンボーディングやトレーニングマテリアルに反映 - 他のチームとのコミュニケーションの際にも活用する 各ロールごとに必要となる専門的な知識は Role 内で議論を重ねる - 各ロールの Roadmap から必要な知識を落とし込んでもらう Skill は新たな Task を行うための源でもある - メンバーが「やりたいこと」を支援する「風土」 Skills

15. 15 Confidential - Do Not Share Value との関係性 Function Role

    Task Skill All for One Be Pro Go Bold

16. 16 Confidential - Do Not Share What’s Security Manager? 最近の活動

17. 17 Confidential - Do Not Share Manager Mission 互いの専門領域を活かして協働する セキュリティチームは専門性の高い各ドメインの皆さんや、

    施策を実施するためのオーナーチームと協働したいと考えます。 より密に活動するため、交換留学といった諸制度を進めます。 全員がセキュリティ対策にオーナーシップを持つ セキュリティ対策は、情報を取り扱う方のみが実施できます。 セキュリティチームは各チーム・メンバーがセキュリティ対策を実施するた めに多方面から支援します。 社内外のエンジニアとの協働を促進する “Give & Give” の精神を大事に、社内外のエンジニアと協働 します。また社外のお客様やエンジニアに向けて積極的に情 報発信し、仲間を増やしていきます。 セキュリティを通じてメンバーとともに新たな価値を生みだすチームをリーディングする。 社内外に対してセキュリティが継続可能であることを、積極的にアウトプットする。 受容可能なリスクを見極める ２線と連携して受容可能なリスク水準を明確にし、 継続可能なセキュリティ対応を行います セキュリティ対策について Professinal として説 明可能な状態を作り維持する 定量的なリスク評価結果に基づいた施策の優先度設定や、 ルールの制定根拠を明確にします 1 2 3 ロードマップ達成に向けた自分の役割 Top Priority 3 1 2 3 スキルの可視化と資格の活用 セキュリティの各 Role は高度に専門化・体系化されており、併せてスキ ルセットの体系化が進んでいます。育成や採用を推進するためにベン ダー資格を有効に活用していきたく、受験や維持費に対する支援を検討 していきたいと考えています。 Need HELP

18. 18 Confidential - Do Not Share • People Management (40%)

    • System Risk Manager (10 - 15 %) ◦ Incident Commander ◦ Responsibility to reduce system risk • English Training (5%) • Meeting w/ Managers (5%) • Objective Progress Management (5%) • Others ◦ Make roadmap and various materials ◦ Meeting w/ other teams ◦ Hiring Tasks - Security Engineering Manager

19. 19 Confidential - Do Not Share Calibration Performance Review 今

    Q の活動について、事 実とアウトプットをマネー ジャとメンバーで確認する ミーティング。 Peer Review 各メンバーの活動につい て、最低３名からの評価を 受ける 360 度フィードバッ クの一種。 Calibration Performance Review の 結果をマネージャーがまと め、１人３ー５分で経営陣 に全員の活動を説明する。 結果を受けて、評価者が議 論し評価結果が決まる。 Feedback Calibration の結果を受け て、メンバーに対して結果 をフィードバックする。マ ネージャーとメンバーが納 得するまで議論を繰り返し ていく。

20. 20 Confidential - Do Not Share Manager Feedback What is

    it? Why? How will it be used? • マネージャーの強みと弱みを理解し、マネージメントレベルを高め、結果を最大 化する取り組み • 評価結果はチームメンバーに公開。チーム内でのフィードバックミーティングを 行い、問題点を解決する。 • HR は問題解決のための議論を補佐する。 • Q単位で開催されるマネージャー向けの 360 度フィードバック • 全てのマネージャー、ディレクター、執行役員が対象

21. 21 Confidential - Do Not Share Trends for each value/management

    function Ans. 2019 Jan. - Mar. 2018 Oct. - Dec. Diff Go Bold 3.94 4.36 -0.42 All For One 4.11 4.31 -0.20 Be Professional 4.32 4.55 -0.23 Roadmap and OKRs 4.15 4.58 -0.43 Task management and assignment 3.93 4.14 -0.21 Utilization and training 4.13 4.22 -0.09 Feedback and communication 4.03 4.50 -0.47 Culture creation 4.10 4.27 -0.17 Demeanor / 振る舞い 4.47 4.78 -0.31

22. 22 Confidential - Do Not Share Items with a large

    gap between expectations and current status Items Quo/現状 Expectations/期待 Gap/ギャップ Shares important information in a timely manner 3.73 4.40 -0.67 De-prioritizes anything deemed unnecessary to the team’s success 3.53 4.13 -0.60 Gives me constructive feedback 4.07 4.53 -0.47 Makes decisions based on mid- to long-term goals (roadmap) without fixating on short-term issues 4.00 4.40 -0.40 Clearly explains the context and significance behind decisions 4.20 4.53 -0.33

23. 23 Copyright © 2019 Mercari. All rights reserved. Discuss to

    improve • What is the specific thing you want me to leave? ◦ Managerが決める必要があることを減らす ▪ Technical な仕様の決定はエンジニアに任せる ▪ Risk Acceptance Line は Manager が決める ▪ 一定の水準を明確にして、水準に従っている限りは Manager が判断しない ◦ MTG 多すぎる ▪ 結果として MTG で Manager が得た情報が Feedback されるまでに時間がかかる ▪ キックオフと判断が必要となるミーティング以外は参加を控える • What kind of thing is better about the share of information? ◦ MTG 背景 ▪ マネージャーしか知らない情報があることで、結果として時間がかかっている ▪ マネージャーだけで参加するのではなく、メンバーと一緒にミーティングに参加する ◦ 会社全体で起きていることをシェアして欲しい ▪ チーム外との情報格差ができないようにして欲しい

24. 24 Confidential - Do Not Share What’s the Security Engineering

    Manager ? バリューの体現者 コミュニケーションの結節点

25. 25 Confidential - Do Not Share What’s the Security Engineering

    Manager ? https://www.atmarkit.co.jp/ait/articles/1903/29/news017.html 韮