2022/11/30 日経BPセキュリティマネジメントSummit 2022 Winter https://project.nikkeibp.co.jp/event/se221129/
タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ 株式会社Mobility Technologies
ダイジェスト https://special.nikkeibp.co.jp/atclh/NXT/23/security_management_summit0124/
Mobility Technologies Co., Ltd.を展開するスタートアップの社内セキュリティ2022.11.30セキュリティマネジメント Summit 2022 Winter
View Slide
Mobility Technologies Co., Ltd.2株式会社Mobility TechnologiesIT戦略部 / 稲葉 祥紀 – Yoshinori Inaba金融系SIerにて、ITインフラのコンサル・設計・構築・運用・保守を手がける。その後、独立系SIerの情報システム部にて、社内システムすべての管理および設計を担当し、自社のクラウドシフトを推進。主に、セキュリティ、インフラの設計、各種認証関係、監査関係を担当。2021年10月より現職。IPA 情報処理安全確保支援士(登録番号 第002776号)Prosci 認定チェンジマネジメントプラクティショナー
Mobility Technologies Co., Ltd.3株式会社Mobility Technologies
Mobility Technologies Co., Ltd.4Security Security Security Security SecurityIT Security(社内セキュリティ)
Mobility Technologies Co., Ltd.6オンプレ ゼロ すべて クラウド最⼤限 利活⽤
Mobility Technologies Co., Ltd.7すべて クラウド ⾃然とゼロトラスト
Mobility Technologies Co., Ltd.8クラウドのみの会社はセキュリティをどう考えているかどういう取り組みをしているか
Mobility Technologies Co., Ltd.9TechnologyManagement Literacy
Mobility Technologies Co., Ltd.10• 誰が• 何で• どこの• 何にアクセスするかManagement• アカウント• デバイス• システム• データ情報資産の管理ISMSを形骸化させない
Mobility Technologies Co., Ltd.11泥臭いことも本気でManagement• アカウントの棚卸 → システムの種類 多過ぎ• デバイスの棚卸 → デバイスの台数 多過ぎ
Mobility Technologies Co., Ltd.(⾮公開)12ManagementManagementTechnology
Mobility Technologies Co., Ltd.13IDaaSを中⼼に設計Technologyアカウント管理、認証⽅式、ポリシーを⼀元化• SSOを徹底し、個別アカウント管理や個別ログインを制御• MFAの強制、PW管理ポリシーを統⼀• 条件付きアクセスを細かく設計• アカウントの状態や、アクセス元の国やIPのコントロール• デバイス別のコントロール
Mobility Technologies Co., Ltd.14
Mobility Technologies Co., Ltd.15セキュリティ構成の一部より⾃動化されていることが重要
Mobility Technologies Co., Ltd.16セキュリティ製品もクラウドベースTechnology• 脅威は⽇々進化している• セキュリティ製品も⽇々進化が必要• 情報を収集し、新しいものをすぐに検証し、導⼊を繰り返すオペレーションの時間 収集〜導⼊の時間
Mobility Technologies Co., Ltd.• 経営層• 従業員• IT部⾨17セキュリティへの理解・意識が必要Literacyそれぞれのアプローチがある
Mobility Technologies Co., Ltd.18Literacy – 経営層と• 代表取締役2名と隔週で直接意⾒交換• 取締役+技術部⾨と隔週で直接意⾒交換• Slackで随時意⾒交換正しく理解してもらった上で、• セキュリティは事業への投資と理解• トップダウンで全社へ発信
Mobility Technologies Co., Ltd.19いきなり100点を⽬指さず、50〜60点の積み重ね• 反対や細かい指摘で対応が進まないことを防ぐ• 100点狙いは効果、技術、コストと理解を得ることが難しい0点(未対応)の時間を減らすことを重視• 対策が進まない時間=「リスクを受容」の認識、ではない
Mobility Technologies Co., Ltd.20MacWindows 他50 40 10まずここだけでもやるか最初からここまで求めるかそのときの完璧を求めるか
Mobility Technologies Co., Ltd.21Literacy – 従業員と×:セキュリティ対策=不便になる○:セキュリティ対策=安全に働ける• 背景や理由を適切にしっかり説明• Step by stepでハレーションを少なめに• ⾒直しを迅速に
Mobility Technologies Co., Ltd.22教育もしっかり(隔⽉+臨時 実施)• 教科書どおりではなく事業に即した内容• ⾃分ごと(担当事業)として考えてもらうきっかけに
Mobility Technologies Co., Ltd.23Literacy – IT部門ではビジネスに貢献するセキュリティ• 情報感度とバランス感覚を重視• 常に変化する前提で、適応⼒を⾼く• 新しい技術に、楽しみながらチャレンジし続けるWE AREHIRING !
Mobility Technologies Co., Ltd.24TechnologyManagement Literacy
Mobility Technologies Co., Ltd.25Next ActionTechnologyManagementLiteracy• サービス(事業)と社内ITの線引きをさらに薄く、より横断的に• 攻撃に対する防御をさらに構築• セキュリティ課題をいかに技術につなげるか、管理でカバーするかの検討• モニタリングの質を⾼める、かつさらに⾃動化をすすめる• 脆弱性管理のプロセスをさらに強化する• データ管理・データ保護を技術的を⽤いてより安全に、しかし快適に• 全社⼀律の教育から、個別最適の教育へ(役職別、業務別 等)• セキュリティはコストではなく事業への投資という理解をさらに深耕• より⾼いレベルで、より速く情報収集と検証を⾏う仕組みと体制づくり
Mobility Technologies Co., Ltd.26クラウドのみの会社はセキュリティをどう考えているかどういう取り組みをしているか
文章·画像等の内容の無断転載及び複製等の行為はご遠慮ください。Mobility Technologies Co., Ltd.27