$30 off During Our Annual Pro Sale. View Details »

タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ

yinaba
December 01, 2022

 タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ

2022/11/30
日経BPセキュリティマネジメントSummit 2022 Winter
https://project.nikkeibp.co.jp/event/se221129/

タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ
株式会社Mobility Technologies

ダイジェスト
https://special.nikkeibp.co.jp/atclh/NXT/23/security_management_summit0124/

yinaba

December 01, 2022
Tweet

More Decks by yinaba

Other Decks in Technology

Transcript

  1. Mobility Technologies Co., Ltd.
    を展開するスタートアップの社内セキュリティ
    2022.11.30
    セキュリティマネジメント Summit 2022 Winter

    View Slide

  2. Mobility Technologies Co., Ltd.
    2
    株式会社Mobility Technologies
    IT戦略部 / 稲葉 祥紀 – Yoshinori Inaba
    金融系SIerにて、ITインフラのコンサル・設計・構築・運用・保守を手がける。
    その後、独立系SIerの情報システム部にて、社内システムすべての管理および設
    計を担当し、自社のクラウドシフトを推進。主に、セキュリティ、インフラの
    設計、各種認証関係、監査関係を担当。
    2021年10月より現職。
    IPA 情報処理安全確保支援士(登録番号 第002776号)
    Prosci 認定チェンジマネジメントプラクティショナー

    View Slide

  3. Mobility Technologies Co., Ltd.
    3
    株式会社Mobility Technologies

    View Slide

  4. Mobility Technologies Co., Ltd.
    4
    Security Security Security Security Security
    IT Security
    (社内セキュリティ)

    View Slide

  5. Mobility Technologies Co., Ltd.
    6
    オンプレ ゼロ すべて クラウド
    最⼤限 利活⽤

    View Slide

  6. Mobility Technologies Co., Ltd.
    7
    すべて クラウド ⾃然とゼロトラスト

    View Slide

  7. Mobility Technologies Co., Ltd.
    8
    クラウドのみの会社は
    セキュリティをどう考えているか
    どういう取り組みをしているか

    View Slide

  8. Mobility Technologies Co., Ltd.
    9
    Technology
    Management Literacy

    View Slide

  9. Mobility Technologies Co., Ltd.
    10
    • 誰が
    • 何で
    • どこの
    • 何に
    アクセスするか
    Management
    • アカウント
    • デバイス
    • システム
    • データ
    情報資産の管理
    ISMSを形骸化させない

    View Slide

  10. Mobility Technologies Co., Ltd.
    11
    泥臭いことも本気で
    Management
    • アカウントの棚卸 → システムの種類 多過ぎ
    • デバイスの棚卸 → デバイスの台数 多過ぎ

    View Slide

  11. Mobility Technologies Co., Ltd.
    (⾮公開)
    12
    Management
    Management
    Technology

    View Slide

  12. Mobility Technologies Co., Ltd.
    13
    IDaaSを中⼼に設計
    Technology
    アカウント管理、認証⽅式、ポリシーを⼀元化
    • SSOを徹底し、個別アカウント管理や個別ログインを制御
    • MFAの強制、PW管理ポリシーを統⼀
    • 条件付きアクセスを細かく設計
    • アカウントの状態や、アクセス元の国やIPのコントロール
    • デバイス別のコントロール

    View Slide

  13. Mobility Technologies Co., Ltd.
    14

    View Slide

  14. Mobility Technologies Co., Ltd.
    15
    セキュリティ構成の一部
    より⾃動化されていることが重要

    View Slide

  15. Mobility Technologies Co., Ltd.
    16
    セキュリティ製品もクラウドベース
    Technology
    • 脅威は⽇々進化している
    • セキュリティ製品も⽇々進化が必要
    • 情報を収集し、新しいものをすぐに検証し、導⼊を繰り返す
    オペレーションの時間 収集〜導⼊の時間

    View Slide

  16. Mobility Technologies Co., Ltd.
    • 経営層
    • 従業員
    • IT部⾨
    17
    セキュリティへの理解・意識が必要
    Literacy
    それぞれのアプローチがある

    View Slide

  17. Mobility Technologies Co., Ltd.
    18
    Literacy – 経営層と
    • 代表取締役2名と隔週で直接意⾒交換
    • 取締役+技術部⾨と隔週で直接意⾒交換
    • Slackで随時意⾒交換
    正しく理解してもらった上で、
    • セキュリティは事業への投資と理解
    • トップダウンで全社へ発信

    View Slide

  18. Mobility Technologies Co., Ltd.
    19
    いきなり100点を⽬指さず、50〜60点の積み重ね
    • 反対や細かい指摘で対応が進まないことを防ぐ
    • 100点狙いは効果、技術、コストと理解を得ることが難しい
    0点(未対応)の時間を減らすことを重視
    • 対策が進まない時間=「リスクを受容」の認識、ではない

    View Slide

  19. Mobility Technologies Co., Ltd.
    20
    Mac
    Windows 他
    50 40 10
    まずここだけでもやるか
    最初からここまで求めるか
    そのときの完璧を求めるか

    View Slide

  20. Mobility Technologies Co., Ltd.
    21
    Literacy – 従業員と
    ×:セキュリティ対策=不便になる
    ○:セキュリティ対策=安全に働ける
    • 背景や理由を適切にしっかり説明
    • Step by stepでハレーションを少なめに
    • ⾒直しを迅速に

    View Slide

  21. Mobility Technologies Co., Ltd.
    22
    教育もしっかり(隔⽉+臨時 実施)
    • 教科書どおりではなく事業に即した内容
    • ⾃分ごと(担当事業)として考えてもらうきっかけに

    View Slide

  22. Mobility Technologies Co., Ltd.
    23
    Literacy – IT部門では
    ビジネスに貢献するセキュリティ
    • 情報感度とバランス感覚を重視
    • 常に変化する前提で、適応⼒を⾼く
    • 新しい技術に、楽しみながらチャレンジし続ける
    WE ARE
    HIRING !

    View Slide

  23. Mobility Technologies Co., Ltd.
    24
    Technology
    Management Literacy

    View Slide

  24. Mobility Technologies Co., Ltd.
    25
    Next Action
    Technology
    Management
    Literacy
    • サービス(事業)と社内ITの線引きをさらに薄く、より横断的に
    • 攻撃に対する防御をさらに構築
    • セキュリティ課題をいかに技術につなげるか、管理でカバーするかの検討
    • モニタリングの質を⾼める、かつさらに⾃動化をすすめる
    • 脆弱性管理のプロセスをさらに強化する
    • データ管理・データ保護を技術的を⽤いてより安全に、しかし快適に
    • 全社⼀律の教育から、個別最適の教育へ(役職別、業務別 等)
    • セキュリティはコストではなく事業への投資という理解をさらに深耕
    • より⾼いレベルで、より速く情報収集と検証を⾏う仕組みと体制づくり

    View Slide

  25. Mobility Technologies Co., Ltd.
    26
    クラウドのみの会社は
    セキュリティをどう考えているか
    どういう取り組みをしているか

    View Slide

  26. 文章·画像等の内容の無断転載及び複製等の行為はご遠慮ください。
    Mobility Technologies Co., Ltd.
    27

    View Slide