Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み

239 views

Published on

「Akamai Security Conference 2019」で発表された資料です。

https://www.event-entry.net/akamai/sc2019/

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み

  1. 1. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. グリーのセキュリティ戦略 組織改革成功の秘訣と新たな課題への取り組み Jul. 2, 2019 奥村 祐則 (Masanori OKUMURA) 【S-6】
  2. 2. Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村 祐則 (Masanori OKUMURA) グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT PoC 社歴7年+ セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は18年くらい なんだかんだでセキュリティばっかりやってる(エンジニア、コ ンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショッ プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント フォーラム, Gartner Security & Risk Management Summit 2018 など (NY times, AERA, 広報しながわ) 2
  3. 3. Copyright © GREE, Inc. All Rights Reserved. https://corp.gree.net/jp/ja/business/ グリーグループ 事業領域 ©Wright Flyer Live Entertainment, Inc./©Ficty
  4. 4. Copyright © GREE, Inc. All Rights Reserved. グリー コーポレートミッション インターネットを通じて、 世界をより良くする。
  5. 5. Copyright © GREE, Inc. All Rights Reserved. グリー 組織図 ● いわゆるコーポレートIT部門 ● 商用サービスのインフラ部門 ● Data Engineering部門 ● CS/QA部門 ● セキュリティ 開発本部はバックオフィスとは別の本部として独立して存在 コーポレート本部(バッ クオフィス) 開発本部 (DD) 各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
  6. 6. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団 (2011以前 2. 黎明期 (2012くらい 3. 分断期1 バックオフィス・サービスの分断(2013~14くらい 4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで 5. 統一期 (2016後半 6. 大規模インシデント(2016末) 7. 再定義期 真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期
  7. 7. Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う ● 2014年にはバックオフィス領域だけでISMS認証を取得 分断期1: バックオフィス・サービスの分断 バックオフィス (コーポレート) 開発本部 (DD) 各事業部門
  8. 8. Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
  9. 9. Copyright © GREE, Inc. All Rights Reserved. ● セキュリティと言えばセキュリティ部、と認知してもらおう ● エンジニアも非エンジニアも、お互いを認めよう ● フルスタックの原型ができる 統一期:キーワード 「ワンストップ」
  10. 10. Confidential Copyright © GREE, Inc. All Rights Reserved. セキュリティ部 体制 ● 2019/07/01時点 セキュリティ 診断チーム Security Assessment Team セキュリティ部 Security Unit 奥村 祐則 セキュリティ 推進チーム Security Operation Team セキュリティ エンジニアリングチーム Security Engineering Team ※エンジニアは兼務者あり、推進チームは業務委託あり
  11. 11. Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● インシデント対応力を一から見直し ● 事業部門とのパイプを強化 再定義期 バックオフィス (コーポレート) 開発本部 (DD) 各グループ会社・各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
  12. 12. Copyright © GREE, Inc. All Rights Reserved. 対外的には: ● セキュリティ問い合わせ窓口一本 化による効率化 ● オールジャンルセキュリティをア ピールすることで、今まで拾えな かった案件捕捉が可能に (Identification だいじ) "フルスタック" でよかったこと 「テーラーメイド」を心掛けた: ● 事業も多角化し、全く同じ悩み・課 題を抱えているということはまず ない
  13. 13. Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では: ● セキュリティ未経験者でもセキュリ ティ部で活躍出来るように ● エンジニアに近くなったことで ○ 技術的相談 ○ 定型作業向けフォーム作成・集計 自動化の依頼 が容易になり、より効率化 "フルスタック" でよかったこと(部内) エンジニアリング目線では: ● エンジニアリングに注力出来る ○ 最初は未知の相談案件でも、類似 案件のノウハウを貯めて移管 ● エンジニアが対面対応するケース の削減 ○ 診断により見つかった脆弱性の連 絡・修正トラッキング ○ 問い合わせ一次対応 ● いわゆる渉外(社外・部外)が激 減 ○ 診断の内製化に注力できた ○ 診断以外のこともできるようになっ た(海賊版撲滅CP)
  14. 14. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. インターネットを通じて、 世界をより良くする。
  15. 15. Copyright © GREE, Inc. All Rights Reserved.

×