グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み
Jul. 3, 2019•0 likes•2,376 views
Download to read offline
Report
Engineering
「Akamai Security Conference 2019」で発表された資料です。 https://www.event-entry.net/akamai/sc2019/
gree_techFollow
Recommended
AWS セキュリティとコンプライアンスAmazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)Amazon Web Services Japan
AWS OrganizationsServerworks Co.,Ltd.
20191218 AWS Black Belt Online Seminar AWSのマネジメント&ガバナンス サービスアップデートAmazon Web Services Japan
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)Amazon Web Services Japan
AWSメンテナンス ElastiCache編Serverworks Co.,Ltd.
More Related Content
What's hot
20200826 AWS Black Belt Online Seminar AWS CloudFormation Amazon Web Services Japan
20210216 AWS Black Belt Online Seminar AWS Database Migration ServiceAmazon Web Services Japan
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Elastic BeanstalkAmazon Web Services Japan
AWSを用いたWebホスティングSORACOM, INC
20200714 AWS Black Belt Online Seminar Amazon NeptuneAmazon Web Services Japan
Similar to グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み
"フルスタック"セキュリティgree_tech
FIDO2導入してみたを考えてみたFIDO Alliance
オフショア開発を成功させるために弊社が実施したこと株式会社DEHA SOLUTIONS
アジャイル開発の普及状況と具体事例Yukio Okajima
erizoコンセプト資料BBB
初心者がAlexaスキル開発でハマったこと(20181205)Takashi IMAI
More from gree_tech
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜gree_tech
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介gree_tech
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表gree_tech
アプリ起動時間高速化 ~推測するな、計測せよ~gree_tech
長寿なゲーム事業におけるアプリビルドの効率化gree_tech
Cloud Spanner をより便利にする運用支援ツールの紹介gree_tech
グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み
- 1. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. グリーのセキュリティ戦略 組織改革成功の秘訣と新たな課題への取り組み Jul. 2, 2019 奥村 祐則 (Masanori OKUMURA) 【S-6】
- 2. Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村 祐則 (Masanori OKUMURA) グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT PoC 社歴7年+ セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は18年くらい なんだかんだでセキュリティばっかりやってる(エンジニア、コ ンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショッ プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント フォーラム, Gartner Security & Risk Management Summit 2018 など (NY times, AERA, 広報しながわ) 2
- 3. Copyright © GREE, Inc. All Rights Reserved. https://corp.gree.net/jp/ja/business/ グリーグループ 事業領域 ©Wright Flyer Live Entertainment, Inc./©Ficty
- 4. Copyright © GREE, Inc. All Rights Reserved. グリー コーポレートミッション インターネットを通じて、 世界をより良くする。
- 5. Copyright © GREE, Inc. All Rights Reserved. グリー 組織図 ● いわゆるコーポレートIT部門 ● 商用サービスのインフラ部門 ● Data Engineering部門 ● CS/QA部門 ● セキュリティ 開発本部はバックオフィスとは別の本部として独立して存在 コーポレート本部(バッ クオフィス) 開発本部 (DD) 各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
- 6. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団 (2011以前 2. 黎明期 (2012くらい 3. 分断期1 バックオフィス・サービスの分断(2013~14くらい 4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで 5. 統一期 (2016後半 6. 大規模インシデント(2016末) 7. 再定義期 真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期
- 7. Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う ● 2014年にはバックオフィス領域だけでISMS認証を取得 分断期1: バックオフィス・サービスの分断 バックオフィス (コーポレート) 開発本部 (DD) 各事業部門
- 8. Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
- 9. Copyright © GREE, Inc. All Rights Reserved. ● セキュリティと言えばセキュリティ部、と認知してもらおう ● エンジニアも非エンジニアも、お互いを認めよう ● フルスタックの原型ができる 統一期:キーワード 「ワンストップ」
- 10. Confidential Copyright © GREE, Inc. All Rights Reserved. セキュリティ部 体制 ● 2019/07/01時点 セキュリティ 診断チーム Security Assessment Team セキュリティ部 Security Unit 奥村 祐則 セキュリティ 推進チーム Security Operation Team セキュリティ エンジニアリングチーム Security Engineering Team ※エンジニアは兼務者あり、推進チームは業務委託あり
- 11. Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● インシデント対応力を一から見直し ● 事業部門とのパイプを強化 再定義期 バックオフィス (コーポレート) 開発本部 (DD) 各グループ会社・各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
- 12. Copyright © GREE, Inc. All Rights Reserved. 対外的には: ● セキュリティ問い合わせ窓口一本 化による効率化 ● オールジャンルセキュリティをア ピールすることで、今まで拾えな かった案件捕捉が可能に (Identification だいじ) "フルスタック" でよかったこと 「テーラーメイド」を心掛けた: ● 事業も多角化し、全く同じ悩み・課 題を抱えているということはまず ない
- 13. Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では: ● セキュリティ未経験者でもセキュリ ティ部で活躍出来るように ● エンジニアに近くなったことで ○ 技術的相談 ○ 定型作業向けフォーム作成・集計 自動化の依頼 が容易になり、より効率化 "フルスタック" でよかったこと(部内) エンジニアリング目線では: ● エンジニアリングに注力出来る ○ 最初は未知の相談案件でも、類似 案件のノウハウを貯めて移管 ● エンジニアが対面対応するケース の削減 ○ 診断により見つかった脆弱性の連 絡・修正トラッキング ○ 問い合わせ一次対応 ● いわゆる渉外(社外・部外)が激 減 ○ 診断の内製化に注力できた ○ 診断以外のこともできるようになっ た(海賊版撲滅CP)
- 14. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. インターネットを通じて、 世界をより良くする。
- 15. Copyright © GREE, Inc. All Rights Reserved.