"フルスタック"セキュリティ

2. Copyright © GREE, Inc. All Rights Reserved. 概要今回はセキュリティに焦点をあてた勉強会です。グリーでは、グループ全体の情報セキュリティに関する業務全般を一つの部門「セキュリティ部」が担っています。プロダクトやサービスのセキュリティ面はもちろんのこと、企業一般において必要とされる社内IT環境のセキュリティ面も守備範囲です。また、技術的なセキュリティ対策だけでなく、ポリシーやルールの整備、教育、周知、監査といった非技術領域の仕事も同じ部内で実施しています。本イベントではあらゆる領域、レイヤでのセキュリティを取り扱う”フルスタック"セキュリティ部のご紹介と、そんなフルスタックな環境で働いているエンジニアから、ここ最近取り組んでいることについていくつかご紹介させていただきます。本イベントが、参加者の皆様の参考になれば幸いです。 ”フルスタック"セキュリティ部のご紹介技術的なセキュリティ対策からポリシーやルールの整備、教育、周知、監査といった非技術領域までをひとつの部で実施することによるメリット等をお話ししますフルスタックセキュリティエンジニア　チームトピック ● RSAカンファレンス行ってきた話 ● 脆弱性診断系の話 ● その他時間の許す限り言える範囲の何か Connpass 告知 https://gree.connpass.com/event/124994/

6. Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村祐則 (Masanori OKUMURA) グリー株式会社開発本部セキュリティ部部長 GREE-IRT PoC 社歴7年くらいセキュリティ専任では1人目の社員おおよそセキュリティとつく仕事はなんでも社会人歴は18年くらいなんだかんだでセキュリティばっかりやってる(エンジニア、コンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショップ, Akamai Edge Japan 2017, 情報セキュリティマネジメントフォーラム, Gartner Security & Risk Management Summit 2018 など（NY times, AERA, 広報しながわ） 6

12. Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村祐則 (Masanori OKUMURA) グリー株式会社開発本部セキュリティ部部長 GREE-IRT PoC 社歴7年くらいセキュリティ専任では1人目の社員おおよそセキュリティとつく仕事はなんでも社会人歴は18年くらいなんだかんだでセキュリティばっかりやってる(エンジニア、コンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショップ, Akamai Edge Japan 2017, 情報セキュリティマネジメントフォーラム, Gartner Security & Risk Management Summit 2018 など（NY times, AERA, 広報しながわ） 12

24. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリーセキュリティ年表 2012 2013 2014 2015 2016 2017 フルスタックへの道のり 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期

26. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリーセキュリティ年表 2012 2013 2014 2015 2016 2017 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期

28. Copyright © GREE, Inc. All Rights Reserved. CSIRTロール定義機能分類役割名称業務内容情報共有社外PoC：自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携社内PoC：自組織内連絡担当、IT部門調整担当法務、渉外、IT部門、広報、各事業部、等々との情報連携法務、渉外、IT部門、広報、各事業部、等々との情報連携コンプライアンス、法的内容とシステム間の翻訳ノーティフィケーション担当：自組織内調整・情報発信担当各関連部署との連絡ハブ、情報発信情報収集・分析リサーチャー：情報収集担当、キュレーター：情報分析担当定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価セルフアセスメント担当平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査ソリューションアナリスト：セキュリティ戦略担当ソリューションマップ作成、Fit&Gap分析、リスク評価、有事の際の有効性評価インシデント対応コマンダー：CSIRT全体統括コマンダー：CSIRT全体統括インシデントマネージャー：インシデント管理担当インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握インシデントハンドラー：インシデント処理担当インシデント現場監督、セキュリティベンダーとの連携インベスティゲーター：調査・捜査担当捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵トリアージ担当：優先順位選定担当事象に対する優先順位の決定フォレンジック担当証拠保全、システム的な鑑識、足跡追跡、マルウェア解析自組織内教育教育担当：教育・啓発担当自組織のリテラシー向上、底上げ CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

31. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリーセキュリティ年表 2012 2013 2014 2015 2016 2017 黎明期 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期

36. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリーセキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期

41. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリーセキュリティ年表 2012 2013 2014 2015 2016 2017 分断期2 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期

46. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリーセキュリティ年表 2012 2013 2014 2015 2016 2017 統一期 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期

53. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリーセキュリティ年表 2012 2013 2014 2015 2016 2017 大規模インシデント 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期不正アクセス

57. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団グリーセキュリティ年表 2012 2013 2014 2015 2016 2017 再定義期 1. 自警団　（2011以前 2. 黎明期　（2012くらい 3. 分断期1　バックオフィス・サービスの分断（2013～14くらい 4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで 5. 統一期　（2016後半 6. 大規模インシデント（2016末） 7. 再定義期　真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期分断期1 分断期2 統一期再定義期

63. Copyright © GREE, Inc. All Rights Reserved. 対外的には： ● セキュリティ問い合わせ窓口一本化による効率化 ● オールジャンルセキュリティをアピールすることで、今まで拾えなかった案件捕捉が可能に（Identification だいじ） "フルスタック" でよかったこと「テーラーメイド」を心掛けた： ● 事業も多角化し、全く同じ悩み・課題を抱えているということはまずない ● 事業に貢献する方法はたくさんある ○ 時には守り ○ 時には懸念点を払拭 ○ 時には課題を解決 ○ 時にはｘｘｘｘ

64. Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では： ● セキュリティ未経験者でもセキュリティ部で活躍出来るように ● エンジニアに近くなったことで ○ 技術的相談 ○ 定型作業向けフォーム作成・集計自動化の依頼が容易になり、より効率化 "フルスタック" でよかったこと（部内）エンジニアリング目線では： ● エンジニアリングに注力出来る ○ 最初は未知の相談案件でも、類似案件のノウハウを貯めて移管 ● エンジニアが対面対応するケースの削減 ○ 診断により見つかった脆弱性の連絡・修正トラッキング ○ 問い合わせ一次対応 ● いわゆる渉外（社外・部外）が激減 ○ 診断の内製化に注力できた ○ 診断以外のこともできるようになった（海賊版撲滅CP）

75. Copyright © GREE, Inc. All Rights Reserved. 組織改編1回目「次からインフラ部セキュリティチームね。インフラもよろしく」「分かりました（とりあえず設定見るか）」「（パッケージ情報収集動いてる。CVEと紐付けやろ）」「今度IaaS使うから、証跡・監査系ログよろしく」「分かりました（取得設定作成とsyslogサーバ新設するか）」「sshアカウント管理なんとかしたい」「分かりました（LDAP構築しよ）」

83. Copyright © GREE, Inc. All Rights Reserved. 現在のカバー領域 ● 脆弱性診断 ○ Web App/Native App/インフラ設定 ● インフラ周り ○ エンジニア用認証基盤/監査ログ周り/SIEM運用 ● アセスメント ○ 脆弱性管理/脆弱性影響調査 ○ システム構築相談 ● インシデント対応 ○ AV&EDR&SIEMからのアラート対応 ■ 影響調査/ログ分析/対処方法検討/対処実施 ■ ベンダー対応/マルウェア解析/フォレンジック

84. Copyright © GREE, Inc. All Rights Reserved. 機能分類役割名称業務内容情報収集・分析リサーチャー：情報収集担当、キュレーター：情報分析担当定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価セルフアセスメント担当平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査ソリューションアナリスト：セキュリティ戦略担当ソリューションマップ作成、Fit&Gap分析、リスク評価、有事の際の有効性評価インシデント対応コマンダー：CSIRT全体統括コマンダー：CSIRT全体統括インシデントマネージャー：インシデント管理担当インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握インシデントハンドラー：インシデント処理担当インシデント現場監督、セキュリティベンダーとの連携インベスティゲーター：調査・捜査担当捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵トリアージ担当：優先順位選定担当事象に対する優先順位の決定フォレンジック担当証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf めっちゃ出来るちょっと出来る全然出来ない現在のカバー領域

87. Copyright © GREE, Inc. All Rights Reserved. ふんいきでセキュリティ ● 診断は専門家がいるが、それ以外の分野は専門家不在 ● 一方、部門統合に伴い”せきゅりてぃ”案件が爆増 ● ”必要なことは何でもやる”のノリで、解決すべく対応開始 ● 前例無し案件は都度調査 ● ”せきゅりてぃ”案件対応で、Engチームの”フルスタック”化が進む ● 診断以外の謎案件が来る（以下ループ

88. Copyright © GREE, Inc. All Rights Reserved. 課題：やれることは増えたが… ● 定常的な脆弱性診断以外の部分の業務内容が曖昧 ● ロール定義が難しい部分をスケールさせることが出来ない ● 人を募集したくても具体性・メッセージ性のある求人が困難 ● ”なんか色々やってます。なんか色々出来る人探してます” ● 間違ってないが… ● 是正するための余裕を生み出すために人が欲しいが（以下ループ

"フルスタック"セキュリティ

"フルスタック"セキュリティ

Recommended

More Related Content

What's hot

What's hot(20)

Similar to "フルスタック"セキュリティ

Similar to "フルスタック"セキュリティ(20)

More from gree_tech

More from gree_tech(20)

"フルスタック"セキュリティ