トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

トレードオフを乗り越えて
民間企業におけるセキュリティ対策の一例
奥村祐則 / Masanori OKUMURA
グリー株式会社 / GREE, Inc.
July 24, 2018

Agenda
1. はじめに
2. これまでの振り返り
a. "時代区分" をしてみる
3. 各時代における "トレードオフ" あるある
a. 導入期：ひととおりはできているはずなのに
b. 安定期：ひととおりは経験したはずなのに
c. 再定義期：新たなゲームのルールは直ちに適用される
4. まとめ
a. トレードオフは乗り越えるものなのか、乗り越えられるものなのか
b. Adopt, Transform, Scale. いかに適応、変革、拡張すべきか
トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

Introduction
奥村祐則
グリー株式会社開発本部セキュリティ部部長
GREE-IRT POC
社歴6年くらい
セキュリティ専任では1人目の社員
おおよそセキュリティとつく仕事はなんでも
社会人歴は17年くらい
なんだかんだでセキュリティばっかりやってる（エ
ンジニア、コンサル、監査、CSIRT, etc…）
登壇/メディア掲載歴
Internet Week 2014, myNavi, NCAシーサート
ワークショップ, Akamai Edge Japan 2017, 情報
セキュリティマネジメントフォーラムなど
（NY times, AERA, 広報しながわ）
スピーカー自己紹介

社名：グリー株式会社
代表者：代表取締役会長兼社長田中良和
設立： 2004年12月7日
資本金： 23億3400万円（2017年6月末現在）
事業内容：ゲーム事業、ライブエンターテインメント事業、メディア事業、広告事業、投資事業
従業員数： 1,429人（グループ全体・2018年3月末現在）
売上高： 65,369百万円（グループ全体・2017年6月期）
営業利益： 7,997百万円（グループ全体・ 2017年6月期）
会社概要

モバイルゲーム事業（グリー）
6
グリーは世界初のモバイルソーシャルゲーム「釣り★スタ」を2007年に公開して以降、さまざまなゲー
ムを開発、運営しています。また、GREE Platformを通じてパートナーさまにもゲームを提供していた
だいたり、自社で開発したゲームを、App Store、Google Play™を通じて配信したり、より多くのお客
さまに楽しんでいただけるよう努めています。
釣り★スタ探検ドリランド踊り子クリノッペハコニワ
海賊王国コロンブスモンプラ戦国キングダム
AKB48ステージファイター
神獄のヴァルハラゲート
BLEACH 卍解バトルガンダムマスターズ NEWSに恋して

モバイルゲーム事業（グループ会社）
7
消滅都市2
戦姫絶唱シンフォギア
XD UNLIMITED
ららマジ
AKB48
ステージファイター2
バトルフェスティバル
株式会社Wright Flyer Studios
株式会社ポケラボ
武器よさらば
SINoALICE
ダンまち
～メモリア・フレーゼ～
アナザーエデン
時空を超える猫
LibraryCross∞
（ライブラリー
クロスインフィニット）
ぷちぐるラブライブ！

バーチャルYouTuberに特化したライブエンターテインメント事業です。声優やタレントが3Dア
バターをまとい演じるバーチャルYouTuberを発掘・育成・マネジメントし、動画番組を企画・制
作・配信したり、配信スタジオ・システムを開発・提供したり、資金面でクリエイターやスタート
アップを支援するなど、業界の発展に貢献していきます。
ライブエンターテインメント事業
8

グリーは「インターネットを通じて、世界をより良くする。」というミッションのもと、日々の生
活がより豊かになるような事業を幅広く展開しています。サービスやメディアを通じて人々のコミ
ュニケーションを豊かにし、お客さまの毎日をより良いものにしていきます。
メディア事業
9
メディア事業
LIMIA
（リミア株式会社）
MINE
（株式会社３ミニッツ）
ARINE aumo
（アウモ株式会社）

グリーでは、インターネットを通じた広告やマーケティング事業において、テクノロジーを基軸と
し、アドテクノロジー事業、アドバタイジングクラウド事業、マーケティングクラウド事業、制作
運営事業等、総合的なソリューションをクライアントに提供しています。
10
アドテクノロジー事業
広告事業
WOOZ
(Glossom株式会社)
アドフリくん
(株式会社ADFULLY)
GREE Ads Reward
制作運営事業アドバタイジングクラウド事業
GREE Ads DSP
GREE Advertising
（グリーアドバタイジング株式会社)
AdCorsa
（Glossom株式会社）
マーケティングクラウド事業
QUANT
(クオント株式会社)

2. これまでの振り返り

Confidential Copyright © GREE, Inc. All Rights Reserved.
"時代区分"をしてみる
2012 2013 2014 2015 2016 2017
1.黎明期 2.導入期 3.安定期 4.再定義期
グリーセキュリティ年表
1. 黎明期：セキュリティ荒野が広がる混沌の時代
2. 導入期：山積するセキュリティ課題に対処した初期の時代
3. 安定期：表面上は平穏が保たれていた時代
4. 再定義期：大幅にセキュリティを見直した時代
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

黎明期
セキュリティ荒野が広がる混沌の時代

Confidential Copyright © GREE, Inc. All Rights Reserved.
"時代区分"を定義する
2012 2013 2014 2015 2016 2017
1. 黎明
期
2.導入期 3.安定期 4.再定義期
グリーセキュリティ年表
1. 黎明期：セキュリティ荒野が広がる混沌の時代
2. 導入期：山積するセキュリティ課題に対処した初期の時代
3. 安定期：表面上は平穏が保たれていた時代
4. 再定義期：大幅にセキュリティを見直した時代
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12

時代背景、状況
● 会社は急成長も業績は天井を打
つ
● 組織的なセキュリティ体制はな
い
● 多くの従業員はセキュリティを
気にしていない
● 個々人の温度感やスキルの違い
が大きく、各所でのセキュリテ
ィレベルが違う
黎明期 - セキュリティ荒野広がる混沌の時代

導入期
山積するセキュリティ課題に対処した初期の時代

● 業績が下降に転じる
● 組織的なセキュリティ体制が徐
々に形になってくる
● 従業員にセキュリティ意識が浸
透してくる
● 可視化が進み各所で課題が顕在
化してくる
導入期 - 山積するセキュリティ課題に対処した初期の時代

安定期
表面上は平穏が保たれていた時代

● 業績の低迷が長期化
● ISMS認証(ISO/IEC 27001)を取
得し組織的なセキュリティ体制
が形になる
透
● 一定のレベルまではセキュリテ
ィ対策が行われた雰囲気に
安定期 - 表面上は平穏が保たれていた時代

● 業績が底を打ち反転、新規事業
も展開が始まる
● 組織的なセキュリティ体制を安
定運用（マンネリ化）
● セキュリティ意識に油断
ィ対策が行われているので大丈
夫なはず
安定期 - 2016年ころ

2016年12月
安定期の終焉

インシデントの発生 - サーバーへの不正アクセス
プレスリリースを打つ大事故
http://corp.gree.net/jp/ja/news/press/2016/1227-01.html

再定義期
大幅にセキュリティを見直した時代

● 業績はダウントレンドを脱する
● インシデント対応の体制を見直
し
● インシデントを受けて教育研修
やアナウンスを強化
● 再侵害を受けないよう全方位で
対応強化
再定義期 - 大幅にセキュリティを見直した時代

“トレードオフ”あるある
3. 各時代における

ありがち“トレードオフ”
● 質的にも、量的にも人員が不足
し、どう組織を強化していくか
が悩ましい
ゴール設定、アプローチ
● 千里の道も一歩から
○ 特効薬はないものと心得る
○ 持続可能性を意識する
○ 一歩一歩現場での経験値を上げ
ていく
○ 組織が機能し成熟するには時間
がかかる
● どうにかして人員を確保する
○ セキュリティ未経験者歓迎
○ 兼務でも御の字
○ プロジェクト化、ワーキンググ
ループ化、バーチャル組織化す
ることで人を巻き込む

ありがち“トレードオフ”
● 課題・問題が多過ぎて「あちら
を立てればこちらが立たず」が
頻発
● 全方位作戦を避ける
○ オフィスとサービス
○ ポリシーとインプリ
○ 技術と非技術
● プロジェクト化
○ ゴール明確に
○ 先送りせずフェーズ化する
○ スモールスタート、スモールゴ
ールを積み重ねる

● 業績の低迷が長期化
● ISMS認証を取得し組織的なセ
キュリティ体制が形になる
透
ィ対策が行われた雰囲気に

ありがちな“トレードオフ”
● 予算は減るけど、セキュリティ
レベルは下げないでくれ
○ 前例踏襲
○ 昨年並み
○ 現状維持
● セキュリティ機能を1つの部門
に集約
○ ワンストップサービス
● コスト減らしながらも現状維持
は死守
○ 効率化、削減といったキーワー
ドで組織的に業務改善
○ ベンダさんとの飽くなき単価交
渉、工数圧縮交渉

● 緊急だが重要でない・重要だが
緊急でない
○ 緊急案件は減ってくる
○ 重要案件は積みあがっていく
● 現状維持は後退の始まり
○ 脅威は待ってくれない
○ テクノロジーも進化していく
● 緊急でない、を疑う
○ 転ばぬ先の杖
○ 事後対応を準備するのも立派な
対策

● インシデント対応はトレードオ
フの連続
○ 火消しか、調査か、公表か、次
の手は、専門家呼ぶか、etc....
○ 最悪の状況は、被害は、再発し
ないのか、etc....
● もっと準備しておけば、という
後悔の念を抱きつつも、コント
ロールできることにフォーカス
○ まずはインシデントをコントロ
ール下に置く
○ イニシアティブを失わないよう
に
○ 期限は先に自分で切る
● 初動の72時間はとても大事
○ その後の継続可能性も大事

● インシデント後の活動、過去の
資産・遺産を活かすか捨てるか
● 再発防止をどこまでやるか
● 一夜にしてルールが変わったこ
とを認識する
○ 過去のしがらみ、歴史的経緯を
覆すチャンス
● 鉄は熱いうちに打て
○ 平時に戻る前に
○ 再発防止終わるまでは平時では
ない

情報セキュリティは終わりなき戦
い
十人十色のセキュリティでいい
トレードオフは乗り越えるものなのか
乗り越えられるものなのか

情報セキュリティは
終わりなき戦い
● 日々の運用を大事に
する
● 継続可能性、再現可
能性が大事
● アジリティを保つ
現状維持＝後退と肝
に銘じる
● × 単なる先送り
● ○ フェーズ分け
いかに適応、変革、拡張すべきか
スケールする組織を目指
す
● SPOF減らしていく
● スケールするルール
を策定する
○ 承認制より届出制
○ 集中管理より権限移
譲

今日役に立たなくてもいつか役に立つかも
同じセキュリティという仕事に携わる者として、
何か一つでも持ち帰っていただければ幸いです
さいごに
情報セキュリティは終わりなき戦い

ご清聴ありがとうございました！
奥村祐則 / Masanori OKUMURA
masanori.okumura@gree.net

インターネットを通じて、
世界をより良くする。

トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

Recommended

More Related Content

What's hot

What's hot(20)

Similar to トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

Similar to トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例(14)

More from gree_tech

More from gree_tech(20)

Recently uploaded

Recently uploaded(6)

トレードオフを乗り越えて - 民間企業におけるセキュリティ対策の一例

Editor's Notes