Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.
グリーのセキュリティ戦略
組織改革成功の秘訣と新たな課題への取り組み
...
Copyright © GREE, Inc. All Rights Reserved.
Introduction
奥村 祐則 (Masanori OKUMURA)
グリー株式会社 開発本部 セキュリティ部 部長
GREE-IRT PoC
社歴7...
Copyright © GREE, Inc. All Rights Reserved.
https://corp.gree.net/jp/ja/business/
グリーグループ 事業領域
©Wright Flyer Live Entertai...
Copyright © GREE, Inc. All Rights Reserved.
グリー コーポレートミッション
インターネットを通じて、
世界をより良くする。
Copyright © GREE, Inc. All Rights Reserved.
グリー 組織図
● いわゆるコーポレートIT部門
● 商用サービスのインフラ部門
● Data Engineering部門
● CS/QA部門
● セキュリ...
Confidential Copyright © GREE, Inc. All Rights Reserved.
自警団
グリー セキュリティ年表
2012 2013 2014 2015 2016 2017
分断期1
1. 自警団 (2011以...
Copyright © GREE, Inc. All Rights Reserved.
セキュリティ関連 組織図
● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う
● 2014年にはバックオフィス領域だけでISMS認証を取得
分断...
Copyright © GREE, Inc. All Rights Reserved.
インシデントの発生 - サーバーへの不正アクセス
プレスリリースを打つ大事故
http://corp.gree.net/jp/ja/news/press/2...
Copyright © GREE, Inc. All Rights Reserved.
● セキュリティと言えばセキュリティ部、と認知してもらおう
● エンジニアも非エンジニアも、お互いを認めよう
● フルスタックの原型ができる
統一期:キーワ...
Confidential Copyright © GREE, Inc. All Rights Reserved.
セキュリティ部 体制
● 2019/07/01時点
セキュリティ
診断チーム
Security Assessment Team
セ...
Copyright © GREE, Inc. All Rights Reserved.
セキュリティ関連 組織図
● インシデント対応力を一から見直し
● 事業部門とのパイプを強化
再定義期
バックオフィス
(コーポレート)
開発本部
(DD)...
Copyright © GREE, Inc. All Rights Reserved.
対外的には:
● セキュリティ問い合わせ窓口一本
化による効率化
● オールジャンルセキュリティをア
ピールすることで、今まで拾えな
かった案件捕捉が可能に...
Copyright © GREE, Inc. All Rights Reserved.
非エンジニアリング目線では:
● セキュリティ未経験者でもセキュリ
ティ部で活躍出来るように
● エンジニアに近くなったことで
○ 技術的相談
○ 定型作業...
Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.
インターネットを通じて、
世界をより良くする。
Copyright © GREE, Inc. All Rights Reserved.
Nächste SlideShare
Wird geladen in …5
×

グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み

1.511 Aufrufe

Veröffentlicht am

「Akamai Security Conference 2019」で発表された資料です。

https://www.event-entry.net/akamai/sc2019/

Veröffentlicht in: Ingenieurwesen
  • Loggen Sie sich ein, um Kommentare anzuzeigen.

グリーのセキュリティ戦略:組織改革成功の秘訣と新たな課題への取り組み

  1. 1. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. グリーのセキュリティ戦略 組織改革成功の秘訣と新たな課題への取り組み Jul. 2, 2019 奥村 祐則 (Masanori OKUMURA) 【S-6】
  2. 2. Copyright © GREE, Inc. All Rights Reserved. Introduction 奥村 祐則 (Masanori OKUMURA) グリー株式会社 開発本部 セキュリティ部 部長 GREE-IRT PoC 社歴7年+ セキュリティ専任では1人目の社員 おおよそセキュリティとつく仕事はなんでも 社会人歴は18年くらい なんだかんだでセキュリティばっかりやってる(エンジニア、コ ンサル、監査、CSIRT, etc…) 登壇/メディア掲載歴 Internet Week 2014, myNavi, NCAシーサートワークショッ プ, Akamai Edge Japan 2017, 情報セキュリティマネジメント フォーラム, Gartner Security & Risk Management Summit 2018 など (NY times, AERA, 広報しながわ) 2
  3. 3. Copyright © GREE, Inc. All Rights Reserved. https://corp.gree.net/jp/ja/business/ グリーグループ 事業領域 ©Wright Flyer Live Entertainment, Inc./©Ficty
  4. 4. Copyright © GREE, Inc. All Rights Reserved. グリー コーポレートミッション インターネットを通じて、 世界をより良くする。
  5. 5. Copyright © GREE, Inc. All Rights Reserved. グリー 組織図 ● いわゆるコーポレートIT部門 ● 商用サービスのインフラ部門 ● Data Engineering部門 ● CS/QA部門 ● セキュリティ 開発本部はバックオフィスとは別の本部として独立して存在 コーポレート本部(バッ クオフィス) 開発本部 (DD) 各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
  6. 6. Confidential Copyright © GREE, Inc. All Rights Reserved. 自警団 グリー セキュリティ年表 2012 2013 2014 2015 2016 2017 分断期1 1. 自警団 (2011以前 2. 黎明期 (2012くらい 3. 分断期1 バックオフィス・サービスの分断(2013~14くらい 4. 分断期2 ポリシー・インプリの分断(2014~16くらいまで 5. 統一期 (2016後半 6. 大規模インシデント(2016末) 7. 再定義期 真のフルスタックを目指して 2018 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 1-6 7-12 2019 1-6 7-12 2011 1-6 7-12 黎明期 分断期1 分断期2 統一 期 再定義期
  7. 7. Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● 全社横断の取り組みを進めようとしたが、事業部門の反発を買う ● 2014年にはバックオフィス領域だけでISMS認証を取得 分断期1: バックオフィス・サービスの分断 バックオフィス (コーポレート) 開発本部 (DD) 各事業部門
  8. 8. Copyright © GREE, Inc. All Rights Reserved. インシデントの発生 - サーバーへの不正アクセス プレスリリースを打つ大事故 http://corp.gree.net/jp/ja/news/press/2016/1227-01.html
  9. 9. Copyright © GREE, Inc. All Rights Reserved. ● セキュリティと言えばセキュリティ部、と認知してもらおう ● エンジニアも非エンジニアも、お互いを認めよう ● フルスタックの原型ができる 統一期:キーワード 「ワンストップ」
  10. 10. Confidential Copyright © GREE, Inc. All Rights Reserved. セキュリティ部 体制 ● 2019/07/01時点 セキュリティ 診断チーム Security Assessment Team セキュリティ部 Security Unit 奥村 祐則 セキュリティ 推進チーム Security Operation Team セキュリティ エンジニアリングチーム Security Engineering Team ※エンジニアは兼務者あり、推進チームは業務委託あり
  11. 11. Copyright © GREE, Inc. All Rights Reserved. セキュリティ関連 組織図 ● インシデント対応力を一から見直し ● 事業部門とのパイプを強化 再定義期 バックオフィス (コーポレート) 開発本部 (DD) 各グループ会社・各事業部門 ©Wright Flyer Live Entertainment, Inc./©Ficty
  12. 12. Copyright © GREE, Inc. All Rights Reserved. 対外的には: ● セキュリティ問い合わせ窓口一本 化による効率化 ● オールジャンルセキュリティをア ピールすることで、今まで拾えな かった案件捕捉が可能に (Identification だいじ) "フルスタック" でよかったこと 「テーラーメイド」を心掛けた: ● 事業も多角化し、全く同じ悩み・課 題を抱えているということはまず ない
  13. 13. Copyright © GREE, Inc. All Rights Reserved. 非エンジニアリング目線では: ● セキュリティ未経験者でもセキュリ ティ部で活躍出来るように ● エンジニアに近くなったことで ○ 技術的相談 ○ 定型作業向けフォーム作成・集計 自動化の依頼 が容易になり、より効率化 "フルスタック" でよかったこと(部内) エンジニアリング目線では: ● エンジニアリングに注力出来る ○ 最初は未知の相談案件でも、類似 案件のノウハウを貯めて移管 ● エンジニアが対面対応するケース の削減 ○ 診断により見つかった脆弱性の連 絡・修正トラッキング ○ 問い合わせ一次対応 ● いわゆる渉外(社外・部外)が激 減 ○ 診断の内製化に注力できた ○ 診断以外のこともできるようになっ た(海賊版撲滅CP)
  14. 14. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. インターネットを通じて、 世界をより良くする。
  15. 15. Copyright © GREE, Inc. All Rights Reserved.

×