グリー開発本部 Meetup #4 フルスタックセキュリティ - connpassに参加したきたのでアウトラインメモです。

”フルスタック”セキュリティ部のご紹介 - 奥村 祐則

• セキュリティ専任の1人目 && セキュリティ部のリーダ
• “フルスタック”セキュリティ部について(正式名称ではない)
• セキュリティ部のミッション
  • GREE
    • インターネットを通じて世の中を良くしていこう
  • 開発本部
    • エンジニアが所属してるところ
    • 技術で事業に貢献する部
      • 部によってやってること(技術)は異なる
    • セキュリティ部のミッション
      • 情報セキュリティ活動を通じて事業に貢献する
      • 対策じゃなくて活動という言葉を使ってる
• フルスタックセキュリティ部の生い立ち
  • 2011年 自警団(専門家はいない状態
  • 2012年 黎明期(セキュリティ社員第一号
    • ここでセキュリティ系の人が入社
  • 2012? ~ 2016? 分断期1, 2
  • 2016年後半: 統一期
    • 不正アクセスのインシデント
    • https://corp.gree.net/jp/ja/news/press/2016/1227-01.html
• 最初
  • 1000人ぐらいいる所で専任のセキュリティ担当がいない
  • ここで求人を出す → 奥村さんが入社
  • できる人ができる範囲でやる = ベストエフォートな対応
• 2012年 コアメンバー入社
  • 専任のセキュリティ担当者が入社
  • 脆弱性診断、ルールづくり
  • インシデントハンドラ = インシデント起きたら対応する
  • ロードマップを立てたいけど、現場がまだ血が流れている状態なのでそこを止めるので精一杯
• 2014年: 分断期1
  • 事業部門とバックオフィス部門の分断
  • 分断がおきて全社横断のセキュリティみたいなことがしにくい状態に
  • ISMS認証を取得の件
• 2015~2016年: 分断期2
  • バックオフィスでリスクマネジメント全体をやって、開発本部はそれで実装してみたいな
  • 決める側とやる側が分断されていたので責任がふわふわしていた
• 2016年後半: 統一
  • 社内政治が収まって、開発本部のセキュリティの方に統一された
  • 現場寄りの方に統一された！
  • ここでやっと協力して、情報共有や診断なども連携されるようになった
  • 非エンジニアの人(ISMS)も開発チーム入ってチェックリストでチェックするなど
  • 「ワンストップ」
    • セキュリティといえばセキュリティ部と認知されるようになった
    • エンジニア、非エンジニア どちらもセキュリティに取り組めるように
    • = フルスタック的に
    • ここで不正アクセスが発生！
    • グリー株式会社 (GREE, Inc.) - ニュース - プレスリリース - 2016年 - 弊社サーバーへの不正アクセスについて
    • 攻撃 ⇒ 商用サービス側のトークン取られて不正アクセスされた
  • 一からセキュリティを見直し ⇒ 再定義
  • CSIRTロール定義にある機能を元に見直す
  • より早く検知、より速く対応
• フルスタックをやってよかった?
  • 事業会社の一つの解
    • 縦割りで良かったことはほとんどなかった
    • セキュリティをワンストップでやるほうがよい
  • 社内の問い合わせ窓口が一本化される
    • セキュリティとながつけばなんでも相談していいよとしたらいろいろな相談がきた
  • テーラーメイド
    • 広告とか事業によってセキュリティ対策は異なる
    • けど事業に貢献する方法はいろいろある
  • セキュリティ部内でよかったこと(ワンストップ)
    • 非エンジニア視点
      • セキュリティ未経験者でもセキュリティ部でも活躍できる
      • 非エンジニアがエンジニアに近くになったことで効率的になった(技術的な部分も相談できる)
    • エンジニア目線
      • 脆弱性診断の報告などのコミュニケーションを非エンジニアの方に手伝ってもらえた
      • 対面のコミュニケーションコストが削減できた
  • Q&A
    • Q. あとセキュリティ部は何人くらいの組織ですか？
    • Q. KPI
    • Q. セキュリティ部
    • Q. 重要視してるところ
    • Q. 内製診断のメリット

“フルスタック”セキュリティ部におけるエンジニアリング - 池添

• セキュリティ部は普段何やってる?
  • あらゆる事象に対応してる
  • 所属する組織で発生するセキュリティっぽい課題に対応してる
• 歴史
  • インフラ部セキュリティチーム発足
    • パッケージ情報収集を有志でやってる人がいたのでCVE収集
    • lasaS使うので証跡や監査ログ
  • セキュリティ部の立ち上げ
    • 診断チームを独立? ⇒ 他全部
    • インシデント発生
      • バックドアを見つけた
      • C2(Command and Control)を見つけて監視(DNS監視)
      • DNS監視、FQ監視作った
      • フォレンジックだけは外部
    • インシデント後
      • いろいろ大変だったのでいろいろ整備
      • フォレンジックができるようにいろいろ買った
      • SSHにMFA入れたい ⇒ 買う
      • EDR
        • 2つのやつを比較して買う
        • EDRで生ログみたらFalse Positiveなログだった
  • カバー領域
    • 脆弱性診断
    • インフラ周り
    • アセスメント
      • 脆弱性の管理
      • CVEでたときの影響調査
      • システム構築の補助
    • インシデント対応
      • EDR、ログ、監査、アラート対応
      • マルウェア解析、フォレンジック
  • CSIRT領域
    • ソリューションアナリスト以外は大体カバー
  • 脆弱性診断 3人
  • その他(カバー領域いろいろ)
  • 雰囲気でセキュリティ
    • 診断は専門家がいる
    • それ以外の分野は専門家不在
      • 必要なことをいろいろやる
      • 相談がきたら何でもやるノリ
    • 診断以外はなぞの案件がくる
  • 課題: やれることは増えたけど
    • 定常的な診断以外は内容が曖昧で属人化している
    • ロール定義が難しい ⇒ 求人難しい
    • フルスタックすぎるとエンジニアリソースが足りない感じになってしまう = リスク
  • セキュリティ版SREなロール、呼び方があってもいいのでは

Q&A

• Q. 機械学習的?
• Q. フルスタックセキュリティエンジニアどうやって採用してますか
• Q. 非エンジニアの業務
• Q. どういう人が向いている
• A. 新しいものに興味ある人