Upgrade to Pro — share decks privately, control downloads, hide ads and more …

タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ

yinaba
December 01, 2022
Technology
0
240

 タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ

2022/11/30
日経BPセキュリティマネジメントSummit 2022 Winter
https://project.nikkeibp.co.jp/event/se221129/

タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ
株式会社Mobility Technologies

ダイジェスト
https://special.nikkeibp.co.jp/atclh/NXT/23/security_management_summit0124/

yinaba

December 01, 2022
Tweet

More Decks by yinaba

See All by yinaba
JMUG - 特別編 JNUC 2023 Speaker Recap
yinaba
1
65
情シスがいなくても最低限やっておきたいGoogle共有ドライブの設計
yinaba
0
120
JNUC 2023 - Flexible IT Accelerates Problem Solving
yinaba
2
53
事業の成長とともに走るコーポレートITの取り組み
yinaba
0
200

Other Decks in Technology

See All in Technology
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
Application Development WG Intro at AppDeveloperCon
salaboy
0
180
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
150
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k
TypeScript、上達の瞬間
sadnessojisan
46
13k
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
5
560
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
380
[FOSS4G 2019 Niigata] AIによる効率的危険斜面抽出システムの開発について
nssv
0
310

Featured

See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Optimising Largest Contentful Paint
csswizardry
33
2.9k
Optimizing for Happiness
mojombo
376
70k
Why Our Code Smells
bkeepers
PRO
334
57k
We Have a Design System, Now What?
morganepeng
50
7.2k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Fireside Chat
paigeccino
34
3k

Transcript

  1. Mobility Technologies Co., Ltd. を展開するスタートアップの社内セキュリティ 2022.11.30 セキュリティマネジメント Summit 2022 Winter

  2. Mobility Technologies Co., Ltd. 2 株式会社Mobility Technologies IT戦略部 / 稲葉

    祥紀 – Yoshinori Inaba 金融系SIerにて、ITインフラのコンサル・設計・構築・運用・保守を手がける。 その後、独立系SIerの情報システム部にて、社内システムすべての管理および設 計を担当し、自社のクラウドシフトを推進。主に、セキュリティ、インフラの 設計、各種認証関係、監査関係を担当。 2021年10月より現職。 IPA 情報処理安全確保支援士(登録番号 第002776号) Prosci 認定チェンジマネジメントプラクティショナー

  3. Mobility Technologies Co., Ltd. 3 株式会社Mobility Technologies

  4. Mobility Technologies Co., Ltd. 4 Security Security Security Security Security

    IT Security (社内セキュリティ)

  5. Mobility Technologies Co., Ltd. 6 オンプレ ゼロ すべて クラウド 最⼤限

    利活⽤

  6. Mobility Technologies Co., Ltd. 7 すべて クラウド ⾃然とゼロトラスト

  7. Mobility Technologies Co., Ltd. 8 クラウドのみの会社は セキュリティをどう考えているか どういう取り組みをしているか

  8. Mobility Technologies Co., Ltd. 9 Technology Management Literacy

  9. Mobility Technologies Co., Ltd. 10 • 誰が • 何で •

    どこの • 何に アクセスするか Management • アカウント • デバイス • システム • データ 情報資産の管理 ISMSを形骸化させない

  10. Mobility Technologies Co., Ltd. 11 泥臭いことも本気で Management • アカウントの棚卸 →

    システムの種類 多過ぎ • デバイスの棚卸 → デバイスの台数 多過ぎ

  11. Mobility Technologies Co., Ltd. (⾮公開) 12 Management Management Technology

  12. Mobility Technologies Co., Ltd. 13 IDaaSを中⼼に設計 Technology アカウント管理、認証⽅式、ポリシーを⼀元化 • SSOを徹底し、個別アカウント管理や個別ログインを制御

    • MFAの強制、PW管理ポリシーを統⼀ • 条件付きアクセスを細かく設計 • アカウントの状態や、アクセス元の国やIPのコントロール • デバイス別のコントロール

  13. Mobility Technologies Co., Ltd. 14

  14. Mobility Technologies Co., Ltd. 15 セキュリティ構成の一部 より⾃動化されていることが重要

  15. Mobility Technologies Co., Ltd. 16 セキュリティ製品もクラウドベース Technology • 脅威は⽇々進化している •

    セキュリティ製品も⽇々進化が必要 • 情報を収集し、新しいものをすぐに検証し、導⼊を繰り返す オペレーションの時間 収集〜導⼊の時間

  16. Mobility Technologies Co., Ltd. • 経営層 • 従業員 • IT部⾨

    17 セキュリティへの理解・意識が必要 Literacy それぞれのアプローチがある

  17. Mobility Technologies Co., Ltd. 18 Literacy – 経営層と • 代表取締役2名と隔週で直接意⾒交換

    • 取締役+技術部⾨と隔週で直接意⾒交換 • Slackで随時意⾒交換 正しく理解してもらった上で、 • セキュリティは事業への投資と理解 • トップダウンで全社へ発信

  18. Mobility Technologies Co., Ltd. 19 いきなり100点を⽬指さず、50〜60点の積み重ね • 反対や細かい指摘で対応が進まないことを防ぐ • 100点狙いは効果、技術、コストと理解を得ることが難しい

    0点(未対応)の時間を減らすことを重視 • 対策が進まない時間=「リスクを受容」の認識、ではない

  19. Mobility Technologies Co., Ltd. 20 Mac Windows 他 50 40

    10 まずここだけでもやるか 最初からここまで求めるか そのときの完璧を求めるか

  20. Mobility Technologies Co., Ltd. 21 Literacy – 従業員と ×:セキュリティ対策=不便になる ◦:セキュリティ対策=安全に働ける

    • 背景や理由を適切にしっかり説明 • Step by stepでハレーションを少なめに • ⾒直しを迅速に

  21. Mobility Technologies Co., Ltd. 22 教育もしっかり(隔⽉+臨時 実施) • 教科書どおりではなく事業に即した内容 •

    ⾃分ごと(担当事業)として考えてもらうきっかけに

  22. Mobility Technologies Co., Ltd. 23 Literacy – IT部門では ビジネスに貢献するセキュリティ •

    情報感度とバランス感覚を重視 • 常に変化する前提で、適応⼒を⾼く • 新しい技術に、楽しみながらチャレンジし続ける WE ARE HIRING !

  23. Mobility Technologies Co., Ltd. 24 Technology Management Literacy

  24. Mobility Technologies Co., Ltd. 25 Next Action Technology Management Literacy

    • サービス(事業)と社内ITの線引きをさらに薄く、より横断的に • 攻撃に対する防御をさらに構築 • セキュリティ課題をいかに技術につなげるか、管理でカバーするかの検討 • モニタリングの質を⾼める、かつさらに⾃動化をすすめる • 脆弱性管理のプロセスをさらに強化する • データ管理・データ保護を技術的を⽤いてより安全に、しかし快適に • 全社⼀律の教育から、個別最適の教育へ(役職別、業務別 等) • セキュリティはコストではなく事業への投資という理解をさらに深耕 • より⾼いレベルで、より速く情報収集と検証を⾏う仕組みと体制づくり

  25. Mobility Technologies Co., Ltd. 26 クラウドのみの会社は セキュリティをどう考えているか どういう取り組みをしているか

  26. 文章·画像等の内容の無断転載及び複製等の行為はご遠慮ください。 Mobility Technologies Co., Ltd. 27