事業会社におけるセキュリティ・ ITガバナンス強化への道のり

Transcript

1. Copyright coconala Inc. All Rights Reserved. 事業会社におけるセキュリティ・ ITガバナンス強化への道のり 株式会社ココナラ 川崎

   雄太 2024/07/30 Josys Days 2024

2. Copyright coconala Inc. All Rights Reserved. 自己紹介（川崎 雄太） 2 川崎

   雄太　Yuta Kawasaki @yuta_k0911 株式会社ココナラ システムプラットフォーム部 部長 / Head of Information SRE / 情シス / セキュリティ領域のEM SRE NEXT 2024のコアメンバー 今年の抱負：現状打破 ✨

3. Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容

4. Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 4 事業拡大に合わせて 3年で約3倍の組織規模に成長

   2020年 2023年 フェーズ 上場前 上場後 エンジニア数 20人強 70人強 リポジトリ数 45 170以上

5. Copyright coconala Inc. All Rights Reserved. ココナラの情報システム部門の体制 5 従業員200名超の企業としては、充実している …かも？

   システムプラットフォーム グループ 情報システム グループ インフラ・SREチーム （6名） CSIRTチーム （2名） CITチーム （2名+業務委託2名） - プロダクトインフラの 企画〜運用 - モニタリング / インシ デントレスポンス - アクセス権限精緻化 - 入社 / 退社対応 - 新デバイス / OS検証 ・導入

6. Copyright coconala Inc. All Rights Reserved. 6 Agenda ココナラで抱えていたセキュリティの課題 上場前後で取り組んだこと

   ジョーシスとの出会いと利活用 振り返り 今後の取り組み 1 2 3 4 5

7. Copyright coconala Inc. All Rights Reserved. ココナラで抱えていたセキュリティの課題 Chapter 01 7

8. Copyright coconala Inc. All Rights Reserved. 上場前のセキュリティは どういう状態だったか？🤔 一言でいうと、リアクティブに しか、動けていなかった

   😵 8

9. Copyright coconala Inc. All Rights Reserved. 実際のところ、上場前はどうだったか？ 9 課題の把握が弱く、どの順番で何をすればよいか？が不明確 セキュリティに関して、後手後手の状

   況だった。 • そもそも「何が課題か？」を正 しく認識できていない。 • リアクティブ的に発生する課題に 対しての対応はしているが、もぐ らたたきでしかない。 • セキュリティの全体感を捉えて、 体系立てた課題対応を推進 する役割がない。

10. Copyright coconala Inc. All Rights Reserved. 上場前はどういう体制でセキュリティと向き合っていたか？ 10 セキュリティエンジニアは不在、兼務で何とか対応 CSIRTを立ち上げたのは上場から半

    年経過したあと。 それまではセキュリティ専門組織 はなく、セキュリティエンジニアも 不在で、インフラ・SREエンジニアが 手の空いたときに対応。 プロダクトのグロースを優先するの で、もぐらたたきで手一杯。

11. Copyright coconala Inc. All Rights Reserved. 上場前後で取り組んだこと Chapter 02 11

12. Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関するセキュリティコンサルのアセスメント 12 何ができていて、何ができていないか？の現在地を把握 セキュリティだけでなく、内部統制・

    監査の観点を含めて、現時点で どうなのか？ をアセスメントしても らった。（後述しますが、自社でも アセスメントは定期的に行っていま す） アセスメント結果を元にまずは何 から取り組むべきか？ を明確化 して、対策を推進した。

13. Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関する自社内のアセスメント 13 脅威の対策度合いを細分化し、対策度合いを数値化 ※2021年時点の情報

    対策度合いを数値で表 し、数値が小さい＝優 先度高と定義。 例えば、この時点では 「DDoS攻撃」や「脆 弱性攻撃」が外部脅 威の弱み。

14. Copyright coconala Inc. All Rights Reserved. セキュリティ対策推進に向けた経営層の説得 14 対策費用とインシデント発生時の影響を定量で比較 セキュリティ強化を進めていくた

    めには、経営層の理解が不可 欠。 「インシデント発生時の対応 費」 ＞ 「セキュリティ対策 費」という構図を経営層に理解 してもらい、体制構築やソリュー ション導入の予算を獲得した。

15. Copyright coconala Inc. All Rights Reserved. さまざまな会社とディスカッションを進め、防御力を上げる 15 定例MTGで議論を進めていき、検討を加速化

16. Copyright coconala Inc. All Rights Reserved. ジョーシスとの出会いと利活用 Chapter 03 16

17. Copyright coconala Inc. All Rights Reserved. ココナラが解決したい IT統制・ガバナンスに関する課題その 1 17

    内部脅威の状況の可視化ができていなかった 上場当時、ココナラの情報システム部門 が立ち上がってまだ1年程度のため、 「シャドー IT」が一定数存在している ことは把握できたが、全量はわから なかった。 情報の不正持出しの経路は多数あり、ど こで問題が起きそうなのか？の把握 すらできない状況だった。

18. Copyright coconala Inc. All Rights Reserved. ココナラが解決したい IT統制・ガバナンスに関する課題その 2 18

    プロアクティブな遮断対応ができていなかった 先の課題に紐づくが、可視化ができてい ない＝何が行われているかがわからない 状態だった。（追いかけようと思えば追い かけられるが、ピンポイントは難しい） 追いかけようと思ったときにすでに情報 が外に出ていっていたら、時すでに 遅し。 ここを未然に防ぎたかった。

19. Copyright coconala Inc. All Rights Reserved. 前述の課題はありつつも、 事業のグロースを重要視する フェーズだった。 19

20. Copyright coconala Inc. All Rights Reserved. そのため、情報システム部門としては他 の施策（当時はAppleシリコンアーキテク チャへの対応など）を 優先せざるを得なかった。

    結果として、「リスクとしては認識してい たが…」で止まっていた😓 20

21. Copyright coconala Inc. All Rights Reserved. そこからジョーシスに出会って、どう変 わっていったか？をご紹介します。 21

22. Copyright coconala Inc. All Rights Reserved. ジョーシスとの出会い 22 もともとは手作業の効率化の手段として考えていた ココナラはSaaSを20以上導入しており、

    従業員の増加とともに入社・異動・退 社の作業が増え 、対象となるSaaSも増 えていくことが目に見えていた。 ここを一元管理・一括作業を行うこと で、手作業の効率化を行いたく 、その 中で出会った。

23. Copyright coconala Inc. All Rights Reserved. 打ち手としてのジョーシス（シャドー IT対策） 23 連携可能なアプリの状況を可視化し、シャドー

    ITを検知 ココナラが使っている SaaSは連携可能な アプリにあったので、 状況を可視化するこ とができた。 その流れでシャドー ITも可視化・特定 できた。

24. Copyright coconala Inc. All Rights Reserved. 打ち手としてのジョーシス（ゼロタッチデプロイの実現） 24 アカウント自動作成 〜

    管理を一気通貫で実現 Google Workspaceを起点 として、アカウントの自動作 成・同期を行うことで、手作 業の効率化 ＝ ゼロタッ チデプロイの実現をする ことができた。 対応可能なSaaSもどんどん 増加している。

25. Copyright coconala Inc. All Rights Reserved. もともとの目的（手作業の効率化）だけで なく、「作業漏れによる情報漏洩リスク排 除」といったIT統制にも リーチできた

    🎉 これを上場後時間を空けずに対応できた のは助かっているポイント。 25

26. Copyright coconala Inc. All Rights Reserved. 振り返り Chapter 04 26

27. Copyright coconala Inc. All Rights Reserved. 経営層に対して「どれぐらい必要か？」を説明するハードルが高い 27 投資対効果（ ROI）を定量的に説明することが難しい

    「万が一、情報漏洩が発生した場合の対 応コスト」と「ソリューションの費用」を比較 するが、前者の発生確率を正しく説明で きないと、合意形成が難しい。 「発生確率」を社外インシデント事例など をベースに試算し、経営層に対して説明 を実施することで、理解を得た。

28. Copyright coconala Inc. All Rights Reserved. 実運用のイメージ具体化することが難しい 28 導入して終わりではなく、いかに運用するか？がポイント ソリューションの導入コストは導入前に正

    しく見積もれるが、運用コストはなかなか 正しく見積もることが難しい。 PoCはしていてもたとえば学習コスト、人 員増加・組織改編の頻度 / 規模など考え る要素が多い。 別のセキュリティ運用を参考にして、運用 コストを試算した。

29. Copyright coconala Inc. All Rights Reserved. セキュリティ対策は「早く始めて、早すぎることはない」 29 上場前に焦って付け焼き刃になるのは NG、地に足を付ける

    どのようなプロダクト・サービスを提供し ている会社でも、「セキュリティ対策」 は必須。 必要に迫られてから実施するのではな く、あらかじめ実施が必要なタスク として見込んでおく ことで、焦って優 先度の低い対応（緊急だけど重要でな い）に時間を取られないようにすること が重要。

30. Copyright coconala Inc. All Rights Reserved. 今後の取り組み Chapter 05 30

31. Copyright coconala Inc. All Rights Reserved. ただし、後手後手になるときもあるので、しっかり優先度を見極める 31 時間がないからこそ、本当にやるべきことにフォーカスする セキュリティ対策に使えるリソース（予算、

    工数、など）は限られるので、取捨選択をし つつ、効率的・効果的に対策を進める ことが重要。 手当たり次第に対応していくのは悪手なの で、緊急度 × 影響度で優先度を見極め て、1つ1つ対応していく。 セキュリティ対策に銀の弾丸はない。

32. Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 32 放置すると陳腐化するので、放置しないことが大切 攻撃や脅威は日々進化している。

    一度、セキュリティ対策をして終わりでは なく、継続したリファクタリングを行う必要 がある。 ・ソリューションは「導入する」よりも 「導入後の運用」が大事 ・「リアクティブ」な対応だけでなく、 「プロアクティブ」な仕掛けが重要

33. Copyright coconala Inc. All Rights Reserved. 最後に… 33

34. Copyright coconala Inc. All Rights Reserved. ココナラでは、一緒に事業のグロースを 推進していただける様々な領域のエン ジニアを募集しています。 34

35. ユーザーのストーリーを テクノロジーでサポートする エントリーお待ちしてます！ coconala engineer 採用 https://coconala.co.jp/recruit/engineer https://speakerdeck.com/coconala_hr/coco nala-company-profile-for-engineer

36. Fin