ココナラのセキュリティ組織の体制・役割・今後目指す世界

Copyright coconala Inc. All Rights Reserved. ココナラのセキュリティ組織の体制・役割・今後目指す世界株式会社ココナラ川崎
雄太 2025/01/28 セキュリティエンジニアリング最前線 | 4社の取り組みから見る、これからのセキュリティ

Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎雄太　Yuta
Kawasaki @yuta_k0911 株式会社ココナラ Head of Information 🆕 株式会社ココナラテック執行役員情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ

Copyright coconala Inc. All Rights Reserved. ココナラのセキュリティ部門の仕事内容と取り組み事例 Chapter 01
4

Copyright coconala Inc. All Rights Reserved. セキュリティ業務に関する体制 5 専任者は社内情シス中心で、プロダクトは分業で対応プロダクト
プラットフォーム情報システムインフラ・ SREチーム（5名） CSIRTチーム（2名） CITチーム（4名） - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューション導入 - アクセス権限精緻化 - 新デバイス / OS検証・導入 - アクセス権限精緻化

Copyright coconala Inc. All Rights Reserved. 取り組み事例その1：情報セキュリティに関する交通整理 6 何ができていて、何ができていないか？の現在地を把握セキュリティだけでなく、内部統制・
監査の観点を含めて、現時点でどうなのか？をアセスメントしてもらった。（後述しますが、自社でもアセスメントは定期的に行っています）アセスメント結果を元にまずは何から取り組むべきか？を明確化して、対策を推進した。

Copyright coconala Inc. All Rights Reserved. 取り組み事例その2：情報セキュリティ対策に関するアセスメント定期実施 7 セキュリティ課題の増減によって、対策優先度を決める ※2021年ごろの情報
たとえば、「DDoS攻撃」や「脆弱性攻撃」が弱みだったので、対策を実施。改善状況を定期的に可視化し、施策の優先度を決定。

Copyright coconala Inc. All Rights Reserved. 取り組み事例その3：社内情シスのセキュリティソリューション導入 8 会社のフェーズにおけるリスクを先回りして対処前述のアセスメントの状況を元に最適
な打ち手を検討。たとえば、以下の課題に対してソリューションの選定・ PoC・運用設計・運用を行う。・情報持ち出しに対する制御 / トラッキングができない・アカウント改廃の抜け漏れが発生する

Copyright coconala Inc. All Rights Reserved. 取り組み事例その4：プロダクトのセキュリティソリューション導入 9 「餅は餅屋」として、適材適所の対応をする WafCharmにルールの運用を
してもらい、そこにマネージドルールを併用することで、防御力をあげる。 SIEMで検知した異常はルールを自前で更新し、運用する。この3段構えで攻撃対策を実現している。

Copyright coconala Inc. All Rights Reserved. 取り組み事例その5：各種セキュリティモニタリング 10 毎営業日モニタリングを実施し、アクションを創出する毎営業日17:00時
点の情報で定点確認（WAFログ以外も含めて、レポート作成）問題があれば、毎営業日18:00に集まり、確認・議論当日〜翌日以降のアクションを決めて、チケット化 ※↑は定常運用なので、異常が発生した場合は　アラートを発報し、随時調査しています！

Copyright coconala Inc. All Rights Reserved. 取り組み事例その6：セキュリティ対策推進に向けた経営層の説得 11 対策費用とインシデント発生時の影響を定量で比較セキュリティ強化を進めていくた
めには、経営層の理解が不可欠。「インシデント発生時の対応費」＞「セキュリティ対策費」という構図を経営層に理解してもらい、体制構築やソリューション導入の予算を獲得した。

Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 14 放置すると陳腐化するので、放置しないことが大切攻撃や脅威は日々進化している。
一度、セキュリティ対策をして終わりではなく、継続したリファクタリングを行う必要がある。・ソリューションは「導入する」よりも「導入後の運用」が大事・「リアクティブ」な対応だけでなく、「プロアクティブ」な仕掛けが重要

ココナラのセキュリティ組織の体制・役割・今後目指す世界

ココナラのセキュリティ組織の体制・役割・今後目指す世界

coconala_engineer

More Decks by coconala_engineer

Other Decks in Technology

Featured

Transcript

Copyright coconala Inc. All Rights Reserved. ココナラのセキュリティ組織の体制・役割・今後目指す世界株式会社ココナラ川崎

Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎雄太　Yuta

Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容

Copyright coconala Inc. All Rights Reserved. ココナラのセキュリティ部門の仕事内容と取り組み事例 Chapter 01

Copyright coconala Inc. All Rights Reserved. セキュリティ業務に関する体制 5 専任者は社内情シス中心で、プロダクトは分業で対応プロダクト

Copyright coconala Inc. All Rights Reserved. 取り組み事例その1：情報セキュリティに関する交通整理 6 何ができていて、何ができていないか？の現在地を把握セキュリティだけでなく、内部統制・

Copyright coconala Inc. All Rights Reserved. 取り組み事例その2：情報セキュリティ対策に関するアセスメント定期実施 7 セキュリティ課題の増減によって、対策優先度を決める ※2021年ごろの情報

Copyright coconala Inc. All Rights Reserved. 取り組み事例その3：社内情シスのセキュリティソリューション導入 8 会社のフェーズにおけるリスクを先回りして対処前述のアセスメントの状況を元に最適

Copyright coconala Inc. All Rights Reserved. 取り組み事例その4：プロダクトのセキュリティソリューション導入 9 「餅は餅屋」として、適材適所の対応をする WafCharmにルールの運用を

Copyright coconala Inc. All Rights Reserved. 取り組み事例その5：各種セキュリティモニタリング 10 毎営業日モニタリングを実施し、アクションを創出する毎営業日17:00時

Copyright coconala Inc. All Rights Reserved. 取り組み事例その6：セキュリティ対策推進に向けた経営層の説得 11 対策費用とインシデント発生時の影響を定量で比較セキュリティ強化を進めていくた

Copyright coconala Inc. All Rights Reserved. 今後の取り組み Chapter 02 12

Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関する自社内のアセスメント（ 2024年8月末時点） 13 2021年と比較して、弱みだったところを改善した

Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 14 放置すると陳腐化するので、放置しないことが大切攻撃や脅威は日々進化している。

Fin