"フルスタック"セキュリティ

Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.
"フルスタック"セキュリティ
April 23, 2019
グリー開発本部 Meetup #4
#GDMeetup

Copyright © GREE, Inc. All Rights Reserved.
概要
今回はセキュリティに焦点をあてた勉強会です。
グリーでは、グループ全体の情報セキュリティに関する業務全般を一つの部門「セキュリティ部」が担っています。
プロダクトやサービスのセキュリティ面はもちろんのこと、企業一般において必要とされる社内IT環境のセキュリティ面も守備範囲です。
また、技術的なセキュリティ対策だけでなく、ポリシーやルールの整備、教育、周知、監査といった非技術領域の仕事も同じ部内で実施しています。
本イベントではあらゆる領域、レイヤでのセキュリティを取り扱う”フルスタック"セキュリティ部のご紹介と、そんなフルスタックな環境で働いているエンジニアから、ここ最近
取り組んでいることについていくつかご紹介させていただきます。
本イベントが、参加者の皆様の参考になれば幸いです。
”フルスタック"セキュリティ部のご紹介
技術的なセキュリティ対策からポリシーやルールの整備、教育、周知、監査といった非技術領域までをひとつの部で実施することによるメリット等をお話しします
フルスタックセキュリティエンジニア　チームトピック
● RSAカンファレンス行ってきた話
● 脆弱性診断系の話
● その他時間の許す限り言える範囲の何か
Connpass 告知
https://gree.connpass.com/event/124994/

おしながき
1. はじめに
2. "フルスタック"セキュリティ部について
a. Mission(グリー/DD/セキュリティ)
b. 生い立ち
c. やってよかった!?フルスタック
3. "フルスタック"セキュリティ部におけるエンジニアリング
"フルスタック"セキュリティ

1. はじめに

御礼
10連休前のお忙しい中お越しいただきありがとうございます！
5

Introduction
奥村祐則 (Masanori OKUMURA)
グリー株式会社開発本部セキュリティ部部長
GREE-IRT PoC
社歴7年くらい
セキュリティ専任では1人目の社員
おおよそセキュリティとつく仕事はなんでも
社会人歴は18年くらい
なんだかんだでセキュリティばっかりやってる(エンジニア、コ
ンサル、監査、CSIRT, etc…)
登壇/メディア掲載歴
Internet Week 2014, myNavi, NCAシーサートワークショッ
プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント
フォーラム, Gartner Security & Risk Management Summit
2018 など
（NY times, AERA, 広報しながわ）
6

What's "フルスタック"セキュリティ
is 何？

What's "フルスタック"セキュリティ
ではなくて

Why "フルスタック"セキュリティ
どうしてこうなった
（こうした）か
How to "フルスタック"セキュリティ
を話します！

Mission(グリー/DD/セキュリティ)

Introduction
奥村祐則 (Masanori OKUMURA)
グリー株式会社開発本部セキュリティ部部長
GREE-IRT PoC
社歴7年くらい
セキュリティ専任では1人目の社員
おおよそセキュリティとつく仕事はなんでも
社会人歴は18年くらい
なんだかんだでセキュリティばっかりやってる(エンジニア、コ
ンサル、監査、CSIRT, etc…)
登壇/メディア掲載歴
Internet Week 2014, myNavi, NCAシーサートワークショッ
プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント
フォーラム, Gartner Security & Risk Management Summit
2018 など
（NY times, AERA, 広報しながわ）
12

グリー株式会社 / 開発本部 / セキュリティ部
われわれのミッションとは？

Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.
インターネットを通じて、
世界をより良くする。

https://corp.gree.net/jp/ja/business/
事業領域

開発本部 (DD: Development Division)
DD

Mission:
技術で事業に貢献する

セキュリティ部
セキュリティ対策を講じて、事業を守る

それだけで
いいのか？

Mission of Security Unit
情報セキュリティ活動を通じて
事業に貢献する
Mission

Mission
情報セキュリティ活動って？？
情報セキュリティ対策じゃないの？
事業を守るのではないの？

道のりは
ながかった

生い立ち

Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリーセキュリティ年表
2012 2013 2014 2015 2016 2017
フルスタックへの道のり
1. 自警団　（2011以前
2. 黎明期　（2012くらい
3. 分断期1　バックオフィス・サービスの分断（2013～14くらい
4. 分断期2　ポリシー・インプリの分断（2014～16くらいまで
5. 統一期　（2016後半
6. 大規模インシデント（2016末）
7. 再定義期　真のフルスタックを目指して
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
黎明期分断期1 分断期2
統一
期
再定義期

生い立ち
～自警団の時代～

自警団
2012 2013 2014 2015 2016 2017
1. 自警団　（2011以前
5. 統一期　（2016後半
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
統一
期
再定義期

組織図（セキュリティ関連）
● 専任のセキュリティ担当はいない
● セキュリティやる人は、いたり、いなかったり
自警団
バックオフィス
（コーポレート）
開発本部
（DD）
各事業部門

CSIRTロール定義
機能分類役割名称業務内容
情報共有
社外PoC：自組織外連絡担当 NCA、 JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携
社内PoC：自組織内連絡担当、IT部門調整担当法務、渉外、IT部門、広報、各事業部、等々との情報連携
法務、渉外、IT部門、広報、各事業部、等々との情報連携コンプライアンス、法的内容とシステム間の翻訳
ノーティフィケーション担当：自組織内調整・情報発信担当各関連部署との連絡ハブ、情報発信
情報収集・分析
リサーチャー：情報収集担当、キュレーター：情報分析担当定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト：セキュリティ戦略担当ソリューションマップ作成、Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー：CSIRT全体統括コマンダー：CSIRT全体統括
インシデントマネージャー：インシデント管理担当インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー：インシデント処理担当インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター：調査・捜査担当捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当：優先順位選定担当事象に対する優先順位の決定
フォレンジック担当証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
自組織内教育教育担当：教育・啓発担当自組織のリテラシー向上、底上げ
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

● ベストエフォート
● ノーガード戦法も見受けられた
● フルスタックの思想はない
自警団の時代：キーワード
できる人が、できる範囲でやる

生い立ち
～黎明期～

自警団
2012 2013 2014 2015 2016 2017
黎明期
1. 自警団　（2011以前
5. 統一期　（2016後半
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
統一
期
再定義期

専任のセキュリティ担当者が入社！
● 脆弱性診断
● ルールづくり・セキュリティ対策全般・教育・インシデント対応
黎明期
開発本部
（DD）
各事業部門

● どうせ穴だらけなんだからとにかくやる
● 課題がありすぎて常に自転車操業
● フルスタックまでアタマが回らない
黎明期：キーワード
できるところからやる

生い立ち
～分断期 1～

自警団
2012 2013 2014 2015 2016 2017
分断期1
1. 自警団　（2011以前
5. 統一期　（2016後半
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
統一
期
再定義期

● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う
● 2014年にはバックオフィス領域だけでISMS認証を取得
分断期1: バックオフィス・サービスの分断
開発本部
（DD）
各事業部門

● ウチの部門はカンペキを目指せ！
● 他部門は他部門に責任とってもらう
● フルスタックとは程遠く、仕事が内向きになりがち
分断期1：キーワード
ウチはウチ、よそはよそ

生い立ち
～分断期 2～

自警団
2012 2013 2014 2015 2016 2017
分断期2
1. 自警団　（2011以前
5. 統一期　（2016後半
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
統一
期
再定義期

● コーポレートでルール決め、開発本部が旗振りして実装
分断期2: ポリシー・インプリの分断
開発本部
（DD）
各事業部門

● そちらが決めたことはしっかりやりますわ
● いや、でもやり方甘いんじゃない？
● フルスタックとは程遠く、仕事が内向きになりがち
分断期2：キーワード
決めたのはｘｘｘ、やったのはｘｘｘ

生い立ち
～統一期～

自警団
2012 2013 2014 2015 2016 2017
統一期
1. 自警団　（2011以前
5. 統一期　（2016後半
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
統一
期
再定義期

● 開発本部 / セキュリティ部にセキュリティ関連の全機能を集約
統一期
開発本部
（DD）
各事業部門

● セキュリティと言えばセキュリティ部、と認知してもらおう
● エンジニアも非エンジニアも、お互いを認めよう
● フルスタックの原型ができる
統一期：キーワード
「ワンストップ」

祝！　　　統一

も、つかの間

が、
不正　　　　　　　
アクセス

自警団
2012 2013 2014 2015 2016 2017
大規模インシデント
1. 自警団　（2011以前
5. 統一期　（2016後半
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
統一
期
再定義期
不正アクセス

インシデントの発生 - サーバーへの不正アクセス
プレスリリースを打つ大事故
http://corp.gree.net/jp/ja/news/press/2016/1227-01.html

もう一度
セキュリティ

生い立ち
～再定義期～

自警団
2012 2013 2014 2015 2016 2017
再定義期
1. 自警団　（2011以前
5. 統一期　（2016後半
2018
1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12
2019
1-6 7-12
2011
1-6 7-12
統一
期
再定義期

● インシデント対応力を一から見直し
● 事業部門とのパイプを強化
再定義期
開発本部
（DD）
各グループ会社・各事業部門

● インシデント対応に必要な機能を一から見直し
● グループ会社隅々まで貢献しよう
● フルスタックを目指して
再定義期：キーワード
より早く検知、より速く対応

やってよかった!?フルスタック

縦割り組織でいいことは（あんまり）なかった
やってよかった!?フルスタック
事業会社における一つの解ではある（とおもう）

対外的には：
● セキュリティ問い合わせ窓口一本
化による効率化
● オールジャンルセキュリティをア
ピールすることで、今まで拾えな
かった案件捕捉が可能に
（Identification だいじ）
"フルスタック" でよかったこと
「テーラーメイド」を心掛けた：
● 事業も多角化し、全く同じ悩み・課
題を抱えているということはまず
ない
● 事業に貢献する方法はたくさんあ
る
○ 時には守り
○ 時には懸念点を払拭
○ 時には課題を解決
○ 時にはｘｘｘｘ

非エンジニアリング目線では：
● セキュリティ未経験者でもセキュリ
ティ部で活躍出来るように
● エンジニアに近くなったことで
○ 技術的相談
○ 定型作業向けフォーム作成・集計
自動化の依頼
が容易になり、より効率化
"フルスタック" でよかったこと（部内）
エンジニアリング目線では：
● エンジニアリングに注力出来る
○ 最初は未知の相談案件でも、類似
案件のノウハウを貯めて移管
● エンジニアが対面対応するケース
の削減
○ 診断により見つかった脆弱性の連
絡・修正トラッキング
○ 問い合わせ一次対応
● いわゆる渉外（社外・部外）が激
減
○ 診断の内製化に注力できた
○ 診断以外のこともできるようになっ
た（海賊版撲滅CP）

Mission
事業に貢献できる方法（活動）は多岐にわたる
事業を守るにとどまらず、事業が抱えるセキュリティ課題を解決する

3. ”フルスタック”セキュリティ部におけるエンジニアリング

宣伝
RSA Conferenceに参加しました
https://labs.gree.jp/blog/2019/03/17919/
スマホゲームのセキュリティとWhite box診断のススメ
https://www.jssec.org/dl/20170208_T-4.pdf

自己紹介
● 池添　徹
● セキュリティ部セキュリティエンジニアリングチーム
● 面白そうなネタに食いつく器用貧乏

本日のお題
”フルスタック”セキュリティ部におけるエンジニアリング

あらゆる事象への対応

あらゆる事象？
所属する組織で発生する
セキュリティっぽい課題

チーム発足期
「セキュリティチーム発足するから、好きにやって」
「分かりました（とりあえずコード読んで診断するか）」

組織改編1回目
「次からインフラ部セキュリティチームね。インフラもよろしく」
「分かりました（とりあえず設定見るか）」
「（パッケージ情報収集動いてる。CVEと紐付けやろ）」
「今度IaaS使うから、証跡・監査系ログよろしく」
「分かりました（取得設定作成とsyslogサーバ新設するか）」
「sshアカウント管理なんとかしたい」
「分かりました（LDAP構築しよ）」

組織改編2回目
「セキュリティ部立ち上げるから色々よろしく」
「診断チーム独立したい」
「ええんちゃう？」
「診断独立したから、他よろしく」
「分かりました」

インシデント発生
「インシデント発生したから対応しよう」
「分かりました」
「バックドア見つけました。」
「検体解析しm…時間無いので診断チーム任せた」
「OK、C2分かったで」
「OK、C2 DNS監視とFWのログ監視作った」
「フォレンジックで影響範囲分かったで」
「侵入経路と影響範囲大体分かった、一斉駆除やるわ」

インシデント後
「色々大変だったから色々整備しよう」
「分かりました。」
「SIEM用にアレとフォレンジック用にアレ買ってください」
「承認」
「SIEM立てました」
「フォレンジック何となく分かった」
「SSHにMFA入れたい」
「分かりました。アレ買ってください。」
「（管理システムはOSSで建てよ）」

インシデント後
「EDR入れよう。AとBどっちが良い？」
「分かりました。触った感じエンジニア的にはBで」
「OK。買った」
「EDRからアラート来た」
「見ます。生ログ見たらFPなんで大丈夫です」

先日
「RSAカンファレンスの報告とかウケるんですかね？」
「やっぱりそう思う？じゃ、後半パートよろしく」
「…」

おわかり頂けただろうか

セキュリティっぽい課題であれば何でもやる

現在のカバー領域
● 脆弱性診断
○ Web App/Native App/インフラ設定
● インフラ周り
○ エンジニア用認証基盤/監査ログ周り/SIEM運用
● アセスメント
○ 脆弱性管理/脆弱性影響調査
○ システム構築相談
● インシデント対応
○ AV&EDR&SIEMからのアラート対応
■ 影響調査/ログ分析/対処方法検討/対処実施
■ ベンダー対応/マルウェア解析/フォレンジック

機能分類役割名称業務内容
情報収集・分析
リサーチャー：情報収集担当、キュレーター：情報分析担当定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握
脆弱性診断士：脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断
脆弱性診断士：脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価
セルフアセスメント担当平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査
ソリューションアナリスト：セキュリティ戦略担当ソリューションマップ作成、Fit&Gap分析、リスク評価、有事の際の有効性評価
インシデント対応
コマンダー：CSIRT全体統括コマンダー：CSIRT全体統括
インシデントマネージャー：インシデント管理担当インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握
インシデントハンドラー：インシデント処理担当インシデント現場監督、セキュリティベンダーとの連携
インベスティゲーター：調査・捜査担当捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵
トリアージ担当：優先順位選定担当事象に対する優先順位の決定
フォレンジック担当証拠保全、システム的な鑑識、足跡追跡、マルウェア解析
CSIRT人材の定義と確保より引用 - https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
めっちゃ出来るちょっと出来る全然出来ない
現在のカバー領域

セキュリティエンジニア体制
脆弱性診断チーム
（Web/Native）
セキュリティエンジニアリングチーム
（他全部）
1名兼務
イ
ン
シ
デ
ン
トハ
ン
ド
ラ
ー
SIEM 脆弱性分
析
NW
セキュリティ
フォレンジック
脆弱性診断
(web/native)

ふんいきでセキュリティをやり過ぎ

ふんいきでセキュリティ
● 診断は専門家がいるが、それ以外の分野は専門家不在
● 一方、部門統合に伴い”せきゅりてぃ”案件が爆増
● ”必要なことは何でもやる”のノリで、解決すべく対応開始
● 前例無し案件は都度調査
● ”せきゅりてぃ”案件対応で、Engチームの”フルスタック”化が進む
● 診断以外の謎案件が来る（以下ループ

課題：やれることは増えたが…
● 定常的な脆弱性診断以外の部分の業務内容が曖昧
● ロール定義が難しい部分をスケールさせることが出来ない
● 人を募集したくても具体性・メッセージ性のある求人が困難
● ”なんか色々やってます。なんか色々出来る人探してます”
● 間違ってないが…
● 是正するための余裕を生み出すために人が欲しいが（以下ループ

教訓
● ”フルスタック”は色々触れて楽しい
● ノリで進めるなら、ついてこられる人がいないとそれ自体がリスクに
● ”フルスタック”体制にするなら、相応のエンジニアリソース確保を

余談
セキュリティ版SRE的な
ロール・呼称があっても良いのではないか

ご清聴ありがとうございました
Any Questions?

"フルスタック"セキュリティ

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à "フルスタック"セキュリティ

Similaire à "フルスタック"セキュリティ (20)

Plus de gree_tech

Plus de gree_tech (20)

"フルスタック"セキュリティ