Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IPO準備企業必見!ココナラから学ぶ上場前後でのセキュリティ改革プロセス

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for coconala_engineer coconala_engineer
May 28, 2024
Technology
0
340

 IPO準備企業必見!ココナラから学ぶ上場前後でのセキュリティ改革プロセス

Cloud Security Day 2024の登壇資料。
https://cloudpack.jp/event/cloud-security-day-2024.html

Avatar for coconala_engineer

coconala_engineer

May 28, 2024
Tweet

More Decks by coconala_engineer

See All by coconala_engineer
マルチロールEMが実践する「組織のレジリエンス」を高めるための組織構造と人材配置戦略
Avatar for coconala_engineer coconala_engineer
3
710
『誰の責任?』で揉めるのをやめて、エラーバジェットで判断するようにした ~感情論をデータで終わらせる、PMとエンジニアの意思決定プロセス~
Avatar for coconala_engineer coconala_engineer
0
2k
SREのプラクティスを用いた3領域同時 マネジメントへの挑戦 〜SRE・情シス・セキュリティを統合した チーム運営術〜
Avatar for coconala_engineer coconala_engineer
2
1.4k
「守りのIT」から「攻めの基盤」へ!上場前後でやりきった情シス・モダナイゼーション
Avatar for coconala_engineer coconala_engineer
0
110
障害対応訓練、その前に
Avatar for coconala_engineer coconala_engineer
0
320
生成AI時代を勝ち抜くエンジニア組織マネジメント
Avatar for coconala_engineer coconala_engineer
0
46k
AI時代を生き抜く 新卒エンジニアの生きる道
Avatar for coconala_engineer coconala_engineer
1
690
SwiftTestingによる_モダンなiOSテスト手法とBDD.pdf
Avatar for coconala_engineer coconala_engineer
0
340
SRE × マネジメントレイヤーが挑戦した組織・会社のオブザーバビリティ改革 ― ビジネス価値と信頼性を両立するリアルな挑戦
Avatar for coconala_engineer coconala_engineer
0
1.1k

Other Decks in Technology

See All in Technology
僕、S3  シンプルって名前だけど全然シンプルじゃありません よろしくお願いします
Avatar for Yuuki Yamashita yama3133
1
190
Scrumは歪む — 組織設計の原理原則
Avatar for Daisuke Ashihara dashi
0
120
最強のAIエージェントを諦めたら品質が上がった話 / how quality improved after giving up on the strongest AI agent
Avatar for kt2 kt2mikan
0
160
2026-03-11 JAWS-UG 茨城 #12 改めてALBを便利に使う
Avatar for SUZUKI Masashi masasuzu
2
350
The_Evolution_of_Bits_AI_SRE.pdf
Avatar for 株式会社ヌーラボ nulabinc
PRO
0
130
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
Avatar for MasahiroKawahara masahirokawahara
1
15k
When an innocent-looking ListOffsets Call Took Down Our Kafka Cluster
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
120
ナレッジワークのご紹介(第88回情報処理学会 )
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
180
情シスのための生成AI実践ガイド2026 / Generative AI Practical Guide for Business Technology 2026
Avatar for Akira Maeda glidenote
0
200
us-east-1 に障害が起きた時に、 ap-northeast-1 にどんな影響があるか 説明できるようになろう!
Avatar for Kazuki Miura miu_crescent
PRO
13
4.2k
20260311 ビジネスSWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
Avatar for OpenID Foundation Japan oidfj
0
260
複数クラスタ運用と検索の高度化:ビズリーチにおけるElastic活用事例 / ElasticON Tokyo2026
Avatar for Visional Engineering & Design visional_engineering_and_design
0
130

Featured

See All Featured
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
120
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
1.1k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
Avatar for UX Y'all uxyall
0
680
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
1
150
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.1k
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
310
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
128
17k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2.1k
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
780
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.4k
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.1k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
440

Transcript

  1. Copyright coconala Inc. All Rights Reserved. IPO準備企業必見! ココナラから学ぶ上場前後での セキュリティ改革プロセス 株式会社ココナラ

    川崎 雄太 2024/05/28 Cloud Security Day 2024

  2. Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太 Yuta

    Kawasaki @yuta_k0911 株式会社ココナラ システムプラットフォーム部 部長 / Head of Information SRE / 情シス / セキュリティ領域のEM SRE NEXT 2024のコアメンバー 去年の自慢:PR TIMESに3回載った✨

  3. Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容

  4. Copyright coconala Inc. All Rights Reserved. 4 Agenda ココナラで抱えていたセキュリティの課題 上場前後で取り組んだこと

    振り返りと今後の取り組み 2 1 3

  5. Copyright coconala Inc. All Rights Reserved. ココナラで抱えていたセキュリティの課題 Chapter 01 5

  6. Copyright coconala Inc. All Rights Reserved. 上場前のセキュリティは どういう状態だったか?🤔 一言でいうと、リアクティブに しか、動けていなかった😵

    6

  7. Copyright coconala Inc. All Rights Reserved. 実際のところ、上場前はどうだったか? 7 課題の把握が弱く、どの順番で何をすればよいか?が不明確 セキュリティに関して、後手後手の状

    況だった。 • そもそも「何が課題か?」を正し く認識できていない。 • リアクティブ的に発生する課題に 対しての対応はしているが、もぐ らたたきでしかない。 • セキュリティの全体感を捉えて、 体系立てた課題対応を推進す る役割がない。

  8. Copyright coconala Inc. All Rights Reserved. 上場前はどういう体制でセキュリティと向き合っていたか? 8 セキュリティエンジニアは不在、兼務で何とか対応 CSIRTを立ち上げたのは上場から半

    年経過したあと。 それまではセキュリティ専門組織は なく、セキュリティエンジニアも不在 で、インフラ・SREエンジニアが手の空 いたときに対応。 プロダクトのグロースを優先するの で、もぐらたたきで手一杯。

  9. Copyright coconala Inc. All Rights Reserved. 上場前後で取り組んだこと Chapter 02 9

  10. Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関するセキュリティコンサルのアセスメント 10 何ができていて、何ができていないか?の現在地を把握 セキュリティだけでなく、内部統制・

    監査の観点を含めて、現時点でど うなのか?をアセスメントしてもらっ た。(後述しますが、自社でもアセ スメントは定期的に行っています) アセスメント結果を元にまずは何 から取り組むべきか?を明確化 して、対策を推進した。

  11. Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関する自社内のアセスメント 11 脅威の対策度合いを細分化し、対策度合いを数値化 ※2021年時点の情報

    対策度合いを数値で表 し、数値が小さい=優 先度高と定義。 例えば、この時点では 「DDoS攻撃」や「脆 弱性攻撃」の対策が 弱み。

  12. Copyright coconala Inc. All Rights Reserved. セキュリティ対策推進に向けた経営層の説得 12 対策費用とインシデント発生時の影響を定量で比較 セキュリティ強化を進めていくた

    めには、経営層の理解が不可 欠。 「インシデント発生時の対応 費」 > 「セキュリティ対策費」 という構図を経営層に理解して もらい、体制構築やソリューショ ン導入の予算を獲得した。

  13. Copyright coconala Inc. All Rights Reserved. セキュリティエンジニア採用と体制構築 13 セキュリティ専任者採用と組織化で役割分担を明確化 システムプラットフォーム

    グループ 情報システム グループ インフラ・SREチーム (5名) CSIRTチーム (1名) CITチーム (3名) - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化

  14. Copyright coconala Inc. All Rights Reserved. AWS社とディスカッションを進め、プロダクトの防御力を上げる 14 定例MTGで議論を進めていき、検討を加速化

  15. Copyright coconala Inc. All Rights Reserved. セキュリティ運用の一部をWafCharmに移管する 15 運用工数削減と効率的・効果的なセキュリティ運用の実現 WafCharm導入効果は以

    下の通り。 ・月30時間程度の運用工 数削減(WAFルール運用、 ブラックリスト更新を代行し てもらった) ・月20万件以上の攻撃を WafCharmとマネージド ルールにて遮断

  16. Copyright coconala Inc. All Rights Reserved. 振り返りと今後の取り組み Chapter 03 16

  17. Copyright coconala Inc. All Rights Reserved. セキュリティ対策は「早く始めて、早すぎることはない」 17 上場前に焦って付け焼き刃になるのはNG、地に足を付ける どのようなプロダクト・サービスを提供し

    ている会社でも、「セキュリティ対策」 は必須。 必要に迫られてから実施するのではな く、あらかじめ実施が必要なタスクと して見込んでおくことで、焦って優先 度の低い対応に時間を取られないよう にすることが重要。

  18. Copyright coconala Inc. All Rights Reserved. ただし、後手後手になるときもあるので、しっかり優先度を見極める 18 時間がないからこそ、本当にやるべきことにフォーカスする セキュリティ対策に使えるリソース(予算、

    工数、など)は限られるので、取捨選択をし つつ、効率的・効果的に対策を進めるこ とが重要。 手当たり次第に対応していくのは悪手なの で、緊急度 × 影響度で優先度を見極め て、1つ1つ対応していく。 セキュリティ対策に銀の弾丸はない。

  19. Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 19 放置すると陳腐化するので、放置しないことが大切 攻撃や脅威は日々進化している。

    一度、セキュリティ対策をして終わりでは なく、継続したリファクタリングを行う必要 がある。 ・ソリューションは「導入する」よりも 「導入後の運用」が大事 ・「リアクティブ」な対応だけでなく、 「プロアクティブ」な仕掛けが重要

  20. Fin