SlideShare une entreprise Scribd logo

グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み

gree_tech
gree_tech

「Akamai Security Conference 2019」で発表された資料です。 https://www.event-entry.net/akamai/sc2019/

Ingénierie
1  sur  15
Télécharger pour lire hors ligne
Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. グリーのセキュリティ戦略 組織改革成功の秘訣と新たな課題への取り組み Jul. 2, 2019 奥村 祐則 (Masanori OKUMURA) 【S-6】
Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村 祐則 (Masanori OKUMURA) グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT PoC 社歴7年+ セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は18年くらい なんだかんだでセキュリティばっかりやってる(エンジニア、コ ンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショッ プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント フォーラム, Gartner Security & Risk Management Summit 2018 など (NY times, AERA, 広報しながわ) 2
Copyright © GREE, Inc. All Rights Reserved. https://corp.gree.net/jp/ja/business/ グリーグループ 事業領域 ©Wright Flyer Live Entertainment, Inc./©Ficty
Copyright © GREE, Inc. All Rights Reserved. グリー コーポレートミッション インターネットを通じて、 世界をより良くする。
Copyright © GREE, Inc. All Rights Reserved. グリー 組織図 ● いわゆるコーポレートIT部門 ● 商用サービスのインフラ部門 ● Data Engineering部門 ● CS/QA部門 ● セキュリティ 開発本部はバックオフィスとは別の本部として独立して存在 コーポレート本部(バッ クオフィス) 開発本部 (DD) 各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団 (2011以前 2. 黎明期 (2012くらい 3. 分断期1 バックオフィス・サービスの分断(2013~14くらい 4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで 5. 統一期 (2016後半 6. 大規模インシデント(2016末) 7. 再定義期 真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期
Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う ● 2014年にはバックオフィス領域だけでISMS認証を取得 分断期1: バックオフィス・サービスの分断 バックオフィス (コーポレート) 開発本部 (DD) 各事業部門
Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
Copyright © GREE, Inc. All Rights Reserved. ● セキュリティと言えばセキュリティ部、と認知してもらおう ● エンジニアも非エンジニアも、お互いを認めよう ● フルスタックの原型ができる 統一期:キーワード 「ワンストップ」
Confidential Copyright © GREE, Inc. All Rights Reserved. セキュリティ部 体制 ● 2019/07/01時点 セキュリティ 診断チーム Security Assessment Team セキュリティ部 Security Unit 奥村 祐則 セキュリティ 推進チーム Security Operation Team セキュリティ エンジニアリングチーム Security Engineering Team ※エンジニアは兼務者あり、推進チームは業務委託あり
Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● インシデント対応力を一から見直し ● 事業部門とのパイプを強化 再定義期 バックオフィス (コーポレート) 開発本部 (DD) 各グループ会社・各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
Copyright © GREE, Inc. All Rights Reserved. 対外的には: ● セキュリティ問い合わせ窓口一本 化による効率化 ● オールジャンルセキュリティをア ピールすることで、今まで拾えな かった案件捕捉が可能に (Identification だいじ) "フルスタック" でよかったこと 「テーラーメイド」を心掛けた: ● 事業も多角化し、全く同じ悩み・課 題を抱えているということはまず ない
Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では: ● セキュリティ未経験者でもセキュリ ティ部で活躍出来るように ● エンジニアに近くなったことで ○ 技術的相談 ○ 定型作業向けフォーム作成・集計 自動化の依頼 が容易になり、より効率化 "フルスタック" でよかったこと(部内) エンジニアリング目線では: ● エンジニアリングに注力出来る ○ 最初は未知の相談案件でも、類似 案件のノウハウを貯めて移管 ● エンジニアが対面対応するケース の削減 ○ 診断により見つかった脆弱性の連 絡・修正トラッキング ○ 問い合わせ一次対応 ● いわゆる渉外(社外・部外)が激 減 ○ 診断の内製化に注力できた ○ 診断以外のこともできるようになっ た(海賊版撲滅CP)
Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. インターネットを通じて、 世界をより良くする。
Copyright © GREE, Inc. All Rights Reserved.

Recommandé

AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
 
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよねクラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
YoshioSawada
 
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
Amazon Web Services Japan
 
え!?データがオンプレにあるけどPower BI で BI したいの?
え!?データがオンプレにあるけどPower BI で BI したいの?え!?データがオンプレにあるけどPower BI で BI したいの?
え!?データがオンプレにあるけどPower BI で BI したいの?
Yugo Shimizu
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation 20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
[CTO Night & Day 2019] AWS で構築するデータレイク基盤と amazon.com での導入事例 #ctonight
[CTO Night & Day 2019] AWS で構築するデータレイク基盤と amazon.com での導入事例 #ctonight[CTO Night & Day 2019] AWS で構築するデータレイク基盤と amazon.com での導入事例 #ctonight
[CTO Night & Day 2019] AWS で構築するデータレイク基盤と amazon.com での導入事例 #ctonight
Amazon Web Services Japan
 

Recommandé

AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
 
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよねクラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
YoshioSawada
 
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
Amazon Web Services Japan
 
え!?データがオンプレにあるけどPower BI で BI したいの?
え!?データがオンプレにあるけどPower BI で BI したいの?え!?データがオンプレにあるけどPower BI で BI したいの?
え!?データがオンプレにあるけどPower BI で BI したいの?
Yugo Shimizu
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation 20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
[CTO Night & Day 2019] AWS で構築するデータレイク基盤と amazon.com での導入事例 #ctonight
[CTO Night & Day 2019] AWS で構築するデータレイク基盤と amazon.com での導入事例 #ctonight[CTO Night & Day 2019] AWS で構築するデータレイク基盤と amazon.com での導入事例 #ctonight
[CTO Night & Day 2019] AWS で構築するデータレイク基盤と amazon.com での導入事例 #ctonight
Amazon Web Services Japan
 
おひとりさまAWS Organizationsのススメ
おひとりさまAWS OrganizationsのススメおひとりさまAWS Organizationsのススメ
おひとりさまAWS Organizationsのススメ
Makio Tsukamoto
 
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
 
Serverless時代のJavaについて
Serverless時代のJavaについてServerless時代のJavaについて
Serverless時代のJavaについて
Amazon Web Services Japan
 
はじめよう DynamoDB ハンズオン
はじめよう DynamoDB ハンズオンはじめよう DynamoDB ハンズオン
はじめよう DynamoDB ハンズオン
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design PatternAWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
 
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティスAmazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon Web Services Japan
 
各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較
株式会社オプト 仙台ラボラトリ
 
20191030 AWS Black Belt Online Seminar AWS IoT Analytics Deep Dive
20191030 AWS Black Belt Online Seminar AWS IoT Analytics Deep Dive 20191030 AWS Black Belt Online Seminar AWS IoT Analytics Deep Dive
20191030 AWS Black Belt Online Seminar AWS IoT Analytics Deep Dive
Amazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
 
CircleCI vs. CodePipeline
CircleCI vs. CodePipelineCircleCI vs. CodePipeline
CircleCI vs. CodePipeline
HonMarkHunt
 
AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?
AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?
AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?
Masamitsu Maehara
 
Amazon Pinpoint を中心としたカスタマーエンゲージメントの全体像 / Customer Engagement On Amazon Pinpoint
Amazon Pinpoint を中心としたカスタマーエンゲージメントの全体像 / Customer Engagement On Amazon PinpointAmazon Pinpoint を中心としたカスタマーエンゲージメントの全体像 / Customer Engagement On Amazon Pinpoint
Amazon Pinpoint を中心としたカスタマーエンゲージメントの全体像 / Customer Engagement On Amazon Pinpoint
Amazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
AWSで作る分析基盤
AWSで作る分析基盤AWSで作る分析基盤
AWSで作る分析基盤
Yu Otsubo
 
20190821 AWS Black Belt Online Seminar AWS AppSync
20190821 AWS Black Belt Online Seminar AWS AppSync20190821 AWS Black Belt Online Seminar AWS AppSync
20190821 AWS Black Belt Online Seminar AWS AppSync
Amazon Web Services Japan
 
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #1320210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
Amazon Web Services Japan
 
異次元のグラフデータベースNeo4j
異次元のグラフデータベースNeo4j異次元のグラフデータベースNeo4j
異次元のグラフデータベースNeo4j
昌桓 李
 
初めてのデータ分析基盤構築をまかされた、その時何を考えておくと良いのか
初めてのデータ分析基盤構築をまかされた、その時何を考えておくと良いのか初めてのデータ分析基盤構築をまかされた、その時何を考えておくと良いのか
初めてのデータ分析基盤構築をまかされた、その時何を考えておくと良いのか
Techon Organization
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
製造業向けSmart Factoryデモと 関連AWSサービスのご紹介
製造業向けSmart Factoryデモと 関連AWSサービスのご紹介製造業向けSmart Factoryデモと 関連AWSサービスのご紹介
製造業向けSmart Factoryデモと 関連AWSサービスのご紹介
Amazon Web Services Japan
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティ
gree_tech
 
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみた
FIDO Alliance
 

Contenu connexe

Tendances

SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 

Tendances (20)

おひとりさまAWS Organizationsのススメ
おひとりさまAWS OrganizationsのススメおひとりさまAWS Organizationsのススメ
おひとりさまAWS Organizationsのススメ
 
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
 
Serverless時代のJavaについて
Serverless時代のJavaについてServerless時代のJavaについて
Serverless時代のJavaについて
 
はじめよう DynamoDB ハンズオン
はじめよう DynamoDB ハンズオンはじめよう DynamoDB ハンズオン
はじめよう DynamoDB ハンズオン
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design PatternAWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
 
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティスAmazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティス
 
各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較
 
20191030 AWS Black Belt Online Seminar AWS IoT Analytics Deep Dive
20191030 AWS Black Belt Online Seminar AWS IoT Analytics Deep Dive 20191030 AWS Black Belt Online Seminar AWS IoT Analytics Deep Dive
20191030 AWS Black Belt Online Seminar AWS IoT Analytics Deep Dive
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
 
CircleCI vs. CodePipeline
CircleCI vs. CodePipelineCircleCI vs. CodePipeline
CircleCI vs. CodePipeline
 
AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?
AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?
AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?
 
Amazon Pinpoint を中心としたカスタマーエンゲージメントの全体像 / Customer Engagement On Amazon Pinpoint
Amazon Pinpoint を中心としたカスタマーエンゲージメントの全体像 / Customer Engagement On Amazon PinpointAmazon Pinpoint を中心としたカスタマーエンゲージメントの全体像 / Customer Engagement On Amazon Pinpoint
Amazon Pinpoint を中心としたカスタマーエンゲージメントの全体像 / Customer Engagement On Amazon Pinpoint
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
 
AWSで作る分析基盤
AWSで作る分析基盤AWSで作る分析基盤
AWSで作る分析基盤
 
20190821 AWS Black Belt Online Seminar AWS AppSync
20190821 AWS Black Belt Online Seminar AWS AppSync20190821 AWS Black Belt Online Seminar AWS AppSync
20190821 AWS Black Belt Online Seminar AWS AppSync
 
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #1320210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
 
異次元のグラフデータベースNeo4j
異次元のグラフデータベースNeo4j異次元のグラフデータベースNeo4j
異次元のグラフデータベースNeo4j
 
初めてのデータ分析基盤構築をまかされた、その時何を考えておくと良いのか
初めてのデータ分析基盤構築をまかされた、その時何を考えておくと良いのか初めてのデータ分析基盤構築をまかされた、その時何を考えておくと良いのか
初めてのデータ分析基盤構築をまかされた、その時何を考えておくと良いのか
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
 
製造業向けSmart Factoryデモと 関連AWSサービスのご紹介
製造業向けSmart Factoryデモと 関連AWSサービスのご紹介製造業向けSmart Factoryデモと 関連AWSサービスのご紹介
製造業向けSmart Factoryデモと 関連AWSサービスのご紹介
 

Similaire à グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み

PMI日本フォーラム2017 講演資料 アイ・ティ・イノベーション 工藤武久
PMI日本フォーラム2017 講演資料 アイ・ティ・イノベーション 工藤武久PMI日本フォーラム2017 講演資料 アイ・ティ・イノベーション 工藤武久
PMI日本フォーラム2017 講演資料 アイ・ティ・イノベーション 工藤武久
it-innovation
 

Similaire à グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み (20)

"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティ
 
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみた
 
オフショア開発を成功させるために弊社が実施したこと
オフショア開発を成功させるために弊社が実施したことオフショア開発を成功させるために弊社が実施したこと
オフショア開発を成功させるために弊社が実施したこと
 
アジャイル開発の普及状況と具体事例
アジャイル開発の普及状況と具体事例アジャイル開発の普及状況と具体事例
アジャイル開発の普及状況と具体事例
 
erizoコンセプト資料
erizoコンセプト資料erizoコンセプト資料
erizoコンセプト資料
 
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
 
データサイエンティストってどこへ行ったのか???
データサイエンティストってどこへ行ったのか???データサイエンティストってどこへ行ったのか???
データサイエンティストってどこへ行ったのか???
 
ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208
 
時系列問題に対するCNNの有用性検証
時系列問題に対するCNNの有用性検証時系列問題に対するCNNの有用性検証
時系列問題に対するCNNの有用性検証
 
20170317 商社セミナー 北村
20170317 商社セミナー 北村20170317 商社セミナー 北村
20170317 商社セミナー 北村
 
ITアシスタントご紹介資料
ITアシスタントご紹介資料ITアシスタントご紹介資料
ITアシスタントご紹介資料
 
アジャイルナイトセミナー_2012年10月18日_Social Game x Agile Development
アジャイルナイトセミナー_2012年10月18日_Social Game x Agile Developmentアジャイルナイトセミナー_2012年10月18日_Social Game x Agile Development
アジャイルナイトセミナー_2012年10月18日_Social Game x Agile Development
 
Interop2015-c4-3-モバイルゲームのチート対策
Interop2015-c4-3-モバイルゲームのチート対策Interop2015-c4-3-モバイルゲームのチート対策
Interop2015-c4-3-モバイルゲームのチート対策
 
AIのビジネス実装を成功に近づけるために
AIのビジネス実装を成功に近づけるためにAIのビジネス実装を成功に近づけるために
AIのビジネス実装を成功に近づけるために
 
ハイブリッドクラウドで変わるインフラストラクチャ設計
ハイブリッドクラウドで変わるインフラストラクチャ設計ハイブリッドクラウドで変わるインフラストラクチャ設計
ハイブリッドクラウドで変わるインフラストラクチャ設計
 
JAZUG 9周年イベント 懇親会ライトニングトーク
JAZUG 9周年イベント 懇親会ライトニングトークJAZUG 9周年イベント 懇親会ライトニングトーク
JAZUG 9周年イベント 懇親会ライトニングトーク
 
KYOSOPRAS 20191003 登壇資料
KYOSOPRAS 20191003 登壇資料KYOSOPRAS 20191003 登壇資料
KYOSOPRAS 20191003 登壇資料
 
SIerがgmoクラウドを選ぶ理由とは
SIerがgmoクラウドを選ぶ理由とはSIerがgmoクラウドを選ぶ理由とは
SIerがgmoクラウドを選ぶ理由とは
 
PMI日本フォーラム2017 講演資料 アイ・ティ・イノベーション 工藤武久
PMI日本フォーラム2017 講演資料 アイ・ティ・イノベーション 工藤武久PMI日本フォーラム2017 講演資料 アイ・ティ・イノベーション 工藤武久
PMI日本フォーラム2017 講演資料 アイ・ティ・イノベーション 工藤武久
 
PMI日本フォーラム2017 講演資料 iti工藤武久
PMI日本フォーラム2017 講演資料 iti工藤武久PMI日本フォーラム2017 講演資料 iti工藤武久
PMI日本フォーラム2017 講演資料 iti工藤武久
 

Plus de gree_tech

Plus de gree_tech (20)

アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
 
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
 
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
 
アプリ起動時間高速化 ~推測するな、計測せよ~
アプリ起動時間高速化 ~推測するな、計測せよ~アプリ起動時間高速化 ~推測するな、計測せよ~
アプリ起動時間高速化 ~推測するな、計測せよ~
 
長寿なゲーム事業におけるアプリビルドの効率化
長寿なゲーム事業におけるアプリビルドの効率化長寿なゲーム事業におけるアプリビルドの効率化
長寿なゲーム事業におけるアプリビルドの効率化
 
Cloud Spanner をより便利にする運用支援ツールの紹介
Cloud Spanner をより便利にする運用支援ツールの紹介Cloud Spanner をより便利にする運用支援ツールの紹介
Cloud Spanner をより便利にする運用支援ツールの紹介
 
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
 
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現についてSINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
 
海外展開と負荷試験
海外展開と負荷試験海外展開と負荷試験
海外展開と負荷試験
 
翻訳QAでのテスト自動化の取り組み
翻訳QAでのテスト自動化の取り組み翻訳QAでのテスト自動化の取り組み
翻訳QAでのテスト自動化の取り組み
 
組み込み開発のテストとゲーム開発のテストの違い
組み込み開発のテストとゲーム開発のテストの違い組み込み開発のテストとゲーム開発のテストの違い
組み込み開発のテストとゲーム開発のテストの違い
 
サーバーフレームワークに潜んでる脆弱性検知ツール紹介
サーバーフレームワークに潜んでる脆弱性検知ツール紹介サーバーフレームワークに潜んでる脆弱性検知ツール紹介
サーバーフレームワークに潜んでる脆弱性検知ツール紹介
 
データエンジニアとアナリストチーム兼務になった件について
データエンジニアとアナリストチーム兼務になった件についてデータエンジニアとアナリストチーム兼務になった件について
データエンジニアとアナリストチーム兼務になった件について
 
シェアドサービスとしてのデータテクノロジー
シェアドサービスとしてのデータテクノロジーシェアドサービスとしてのデータテクノロジー
シェアドサービスとしてのデータテクノロジー
 
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
 
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
 
比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)
 
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
 
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
 
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
 

グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み

  • 1. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. グリーのセキュリティ戦略 組織改革成功の秘訣と新たな課題への取り組み Jul. 2, 2019 奥村 祐則 (Masanori OKUMURA) 【S-6】
  • 2. Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村 祐則 (Masanori OKUMURA) グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT PoC 社歴7年+ セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は18年くらい なんだかんだでセキュリティばっかりやってる(エンジニア、コ ンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショッ プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント フォーラム, Gartner Security & Risk Management Summit 2018 など (NY times, AERA, 広報しながわ) 2
  • 3. Copyright © GREE, Inc. All Rights Reserved. https://corp.gree.net/jp/ja/business/ グリーグループ 事業領域 ©Wright Flyer Live Entertainment, Inc./©Ficty
  • 4. Copyright © GREE, Inc. All Rights Reserved. グリー コーポレートミッション インターネットを通じて、 世界をより良くする。
  • 5. Copyright © GREE, Inc. All Rights Reserved. グリー 組織図 ● いわゆるコーポレートIT部門 ● 商用サービスのインフラ部門 ● Data Engineering部門 ● CS/QA部門 ● セキュリティ 開発本部はバックオフィスとは別の本部として独立して存在 コーポレート本部(バッ クオフィス) 開発本部 (DD) 各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
  • 6. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団 (2011以前 2. 黎明期 (2012くらい 3. 分断期1 バックオフィス・サービスの分断(2013~14くらい 4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで 5. 統一期 (2016後半 6. 大規模インシデント(2016末) 7. 再定義期 真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期
  • 7. Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う ● 2014年にはバックオフィス領域だけでISMS認証を取得 分断期1: バックオフィス・サービスの分断 バックオフィス (コーポレート) 開発本部 (DD) 各事業部門
  • 8. Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
  • 9. Copyright © GREE, Inc. All Rights Reserved. ● セキュリティと言えばセキュリティ部、と認知してもらおう ● エンジニアも非エンジニアも、お互いを認めよう ● フルスタックの原型ができる 統一期:キーワード 「ワンストップ」
  • 10. Confidential Copyright © GREE, Inc. All Rights Reserved. セキュリティ部 体制 ● 2019/07/01時点 セキュリティ 診断チーム Security Assessment Team セキュリティ部 Security Unit 奥村 祐則 セキュリティ 推進チーム Security Operation Team セキュリティ エンジニアリングチーム Security Engineering Team ※エンジニアは兼務者あり、推進チームは業務委託あり
  • 11. Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● インシデント対応力を一から見直し ● 事業部門とのパイプを強化 再定義期 バックオフィス (コーポレート) 開発本部 (DD) 各グループ会社・各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
  • 12. Copyright © GREE, Inc. All Rights Reserved. 対外的には: ● セキュリティ問い合わせ窓口一本 化による効率化 ● オールジャンルセキュリティをア ピールすることで、今まで拾えな かった案件捕捉が可能に (Identification だいじ) "フルスタック" でよかったこと 「テーラーメイド」を心掛けた: ● 事業も多角化し、全く同じ悩み・課 題を抱えているということはまず ない
  • 13. Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では: ● セキュリティ未経験者でもセキュリ ティ部で活躍出来るように ● エンジニアに近くなったことで ○ 技術的相談 ○ 定型作業向けフォーム作成・集計 自動化の依頼 が容易になり、より効率化 "フルスタック" でよかったこと(部内) エンジニアリング目線では: ● エンジニアリングに注力出来る ○ 最初は未知の相談案件でも、類似 案件のノウハウを貯めて移管 ● エンジニアが対面対応するケース の削減 ○ 診断により見つかった脆弱性の連 絡・修正トラッキング ○ 問い合わせ一次対応 ● いわゆる渉外(社外・部外)が激 減 ○ 診断の内製化に注力できた ○ 診断以外のこともできるようになっ た(海賊版撲滅CP)
  • 14. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. インターネットを通じて、 世界をより良くする。
  • 15. Copyright © GREE, Inc. All Rights Reserved.