Upgrade to Pro — share decks privately, control downloads, hide ads and more …

タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ

yinaba
December 01, 2022
Technology
0
160

 タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ

2022/11/30
日経BPセキュリティマネジメントSummit 2022 Winter
https://project.nikkeibp.co.jp/event/se221129/

タクシーアプリ「GO」を展開するスタートアップの社内セキュリティ
株式会社Mobility Technologies

ダイジェスト
https://special.nikkeibp.co.jp/atclh/NXT/23/security_management_summit0124/

yinaba

December 01, 2022
Tweet

More Decks by yinaba

See All by yinaba
JMUG - 特別編 JNUC 2023 Speaker Recap
yinaba
1
50
情シスがいなくても最低限やっておきたいGoogle共有ドライブの設計
yinaba
0
22
JNUC 2023 - Flexible IT Accelerates Problem Solving
yinaba
2
47
事業の成長とともに走るコーポレートITの取り組み
yinaba
0
160

Other Decks in Technology

See All in Technology
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
780
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
220
Building Dashboards as a Hobby
egmc
0
240
どうするコスト最適化のトレードオフ
tetsuyaooooo
1
530
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
生産性向上チームの紹介
cybozuinsideout
PRO
1
870
オーナーシップを持つ領域を明確にする
konifar
13
3.2k
よく聞くけど使ったことないソフトウェアNo.1 KafkaとSnowflake
foursue
4
360
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
800
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
260
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
310
AOAI をきっかけに​ 社内の Azure 管理を見直した話​
recruitengineers
PRO
1
300

Featured

See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
16
2.6k
Code Review Best Practice
trishagee
55
15k
Teambox: Starting and Learning
jrom
128
8.4k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
221
21k
Statistics for Hackers
jakevdp
789
220k
4 Signs Your Business is Dying
shpigford
175
21k
Code Reviewing Like a Champion
maltzj
514
39k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Embracing the Ebb and Flow
colly
80
4.1k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k

Transcript

  1. Mobility Technologies Co., Ltd. を展開するスタートアップの社内セキュリティ 2022.11.30 セキュリティマネジメント Summit 2022 Winter

  2. Mobility Technologies Co., Ltd. 2 株式会社Mobility Technologies IT戦略部 / 稲葉

    祥紀 – Yoshinori Inaba 金融系SIerにて、ITインフラのコンサル・設計・構築・運用・保守を手がける。 その後、独立系SIerの情報システム部にて、社内システムすべての管理および設 計を担当し、自社のクラウドシフトを推進。主に、セキュリティ、インフラの 設計、各種認証関係、監査関係を担当。 2021年10月より現職。 IPA 情報処理安全確保支援士(登録番号 第002776号) Prosci 認定チェンジマネジメントプラクティショナー

  3. Mobility Technologies Co., Ltd. 3 株式会社Mobility Technologies

  4. Mobility Technologies Co., Ltd. 4 Security Security Security Security Security

    IT Security (社内セキュリティ)

  5. Mobility Technologies Co., Ltd. 6 オンプレ ゼロ すべて クラウド 最⼤限

    利活⽤

  6. Mobility Technologies Co., Ltd. 7 すべて クラウド ⾃然とゼロトラスト

  7. Mobility Technologies Co., Ltd. 8 クラウドのみの会社は セキュリティをどう考えているか どういう取り組みをしているか

  8. Mobility Technologies Co., Ltd. 9 Technology Management Literacy

  9. Mobility Technologies Co., Ltd. 10 • 誰が • 何で •

    どこの • 何に アクセスするか Management • アカウント • デバイス • システム • データ 情報資産の管理 ISMSを形骸化させない

  10. Mobility Technologies Co., Ltd. 11 泥臭いことも本気で Management • アカウントの棚卸 →

    システムの種類 多過ぎ • デバイスの棚卸 → デバイスの台数 多過ぎ

  11. Mobility Technologies Co., Ltd. (⾮公開) 12 Management Management Technology

  12. Mobility Technologies Co., Ltd. 13 IDaaSを中⼼に設計 Technology アカウント管理、認証⽅式、ポリシーを⼀元化 • SSOを徹底し、個別アカウント管理や個別ログインを制御

    • MFAの強制、PW管理ポリシーを統⼀ • 条件付きアクセスを細かく設計 • アカウントの状態や、アクセス元の国やIPのコントロール • デバイス別のコントロール

  13. Mobility Technologies Co., Ltd. 14

  14. Mobility Technologies Co., Ltd. 15 セキュリティ構成の一部 より⾃動化されていることが重要

  15. Mobility Technologies Co., Ltd. 16 セキュリティ製品もクラウドベース Technology • 脅威は⽇々進化している •

    セキュリティ製品も⽇々進化が必要 • 情報を収集し、新しいものをすぐに検証し、導⼊を繰り返す オペレーションの時間 収集〜導⼊の時間

  16. Mobility Technologies Co., Ltd. • 経営層 • 従業員 • IT部⾨

    17 セキュリティへの理解・意識が必要 Literacy それぞれのアプローチがある

  17. Mobility Technologies Co., Ltd. 18 Literacy – 経営層と • 代表取締役2名と隔週で直接意⾒交換

    • 取締役+技術部⾨と隔週で直接意⾒交換 • Slackで随時意⾒交換 正しく理解してもらった上で、 • セキュリティは事業への投資と理解 • トップダウンで全社へ発信

  18. Mobility Technologies Co., Ltd. 19 いきなり100点を⽬指さず、50〜60点の積み重ね • 反対や細かい指摘で対応が進まないことを防ぐ • 100点狙いは効果、技術、コストと理解を得ることが難しい

    0点(未対応)の時間を減らすことを重視 • 対策が進まない時間=「リスクを受容」の認識、ではない

  19. Mobility Technologies Co., Ltd. 20 Mac Windows 他 50 40

    10 まずここだけでもやるか 最初からここまで求めるか そのときの完璧を求めるか

  20. Mobility Technologies Co., Ltd. 21 Literacy – 従業員と ×:セキュリティ対策=不便になる ◦:セキュリティ対策=安全に働ける

    • 背景や理由を適切にしっかり説明 • Step by stepでハレーションを少なめに • ⾒直しを迅速に

  21. Mobility Technologies Co., Ltd. 22 教育もしっかり(隔⽉+臨時 実施) • 教科書どおりではなく事業に即した内容 •

    ⾃分ごと(担当事業)として考えてもらうきっかけに

  22. Mobility Technologies Co., Ltd. 23 Literacy – IT部門では ビジネスに貢献するセキュリティ •

    情報感度とバランス感覚を重視 • 常に変化する前提で、適応⼒を⾼く • 新しい技術に、楽しみながらチャレンジし続ける WE ARE HIRING !

  23. Mobility Technologies Co., Ltd. 24 Technology Management Literacy

  24. Mobility Technologies Co., Ltd. 25 Next Action Technology Management Literacy

    • サービス(事業)と社内ITの線引きをさらに薄く、より横断的に • 攻撃に対する防御をさらに構築 • セキュリティ課題をいかに技術につなげるか、管理でカバーするかの検討 • モニタリングの質を⾼める、かつさらに⾃動化をすすめる • 脆弱性管理のプロセスをさらに強化する • データ管理・データ保護を技術的を⽤いてより安全に、しかし快適に • 全社⼀律の教育から、個別最適の教育へ(役職別、業務別 等) • セキュリティはコストではなく事業への投資という理解をさらに深耕 • より⾼いレベルで、より速く情報収集と検証を⾏う仕組みと体制づくり

  25. Mobility Technologies Co., Ltd. 26 クラウドのみの会社は セキュリティをどう考えているか どういう取り組みをしているか

  26. 文章·画像等の内容の無断転載及び複製等の行為はご遠慮ください。 Mobility Technologies Co., Ltd. 27