Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Oktaを中心とした「セキュリティと利便性を両立させる」Sansanのゼロトラスト

SansanTech
September 10, 2024

 Oktaを中心とした「セキュリティと利便性を両立させる」Sansanのゼロトラスト

■ イベント
Okta Identity Summit Tokyo 2024
https://regionalevents.okta.com/identitysummittokyo24/

■ 発表者
情報セキュリティ部 部長 竹脇 竜
コーポレートシステム部 部長 三浦 俊介

■ 情報セキュリティエンジニア 採用情報
https://media.sansan-engineering.com/csirt-engineer

■ コーポレートエンジニア 採用情報
https://media.sansan-engineering.com/corps-engineer

SansanTech

September 10, 2024
Tweet

More Decks by SansanTech

Other Decks in Technology

Transcript

  1. 竹脇 竜 Ryu Takewaki Sansan株式会社 情報セキュリティ部 部長 大手携帯キャリアグループでセキュリティエンジニアとしてシス テムセキュリティの強化やセキュリティガバナンス業務に従事。 その後、外資保険会社グループで情報セキュリティ部門の責任者

    ポジションを経て、2018年にメルカリ入社。グループ全体のセ キュリティガバナンス構築に取り組む。 2023年にSansanへ入社。現在は情報セキュリティ部部長として、 Sansanの情報セキュリティ部門を牽引する。
  2. 三浦 俊介 Shunsuke Miura Sansan株式会社 コーポレートシステム部 部長 音楽大学作曲科を卒業。グラフィック/WEB制作会社/広告代理店でプ ロデューサーとして広告関連の制作業務に携わった後に、大手EC会 社にてUIUXデザイナーとして新規サービスの立ち上げやグロース、

    金融系ベンチャーにて社長室長、UX部長、システム企画などを担当。 社長室長として業務体験向上や業務オペレーションの自動化を推進す る中で社内システムに興味を持ち、UXデザインの社内領域への応用 に可能性を感じたことがきっかけとなり、2022年1月にSansanへ入 社。 現在コーポレートシステム部長として社内業務改善、ITのシンプル化 を牽引している。
  3. © Sansan, Inc. 組織構成の概要 PR、ブランディング、新規事業開発室、グローバルビジネス推進 など その他の部門 エンジニア、研究開発(R&D)、 システム管理、CSIRT など

    技術本部 Contract One Unit Sansan事業部 マーケティング、 インサイドセールス、営業、 カスタマーサクセス ブランディング など Bill One事業部 マーケティング、 インサイドセールス、営業、 カスタマーサクセス ブランディング など Eight事業部 マーケティング、 インサイドセールス、営業、 カスタマーサクセス ブランディング など マーケティング、営業 など 総務・法務、財務・経理など コーポレート本部 採用、労務、育成、制度設計・運用など 人事本部 COO室 ※COO=Chief Operating Officer
  4. 情報セキュリティ部の紹介 情報セキュリティ部 CSIRTグループ(9名) ISMグループ(5名) ログ基盤の構築運用 アラート監視 コーポレートITセキュリティ SOC プロダクトセキュリティ強化 脆弱性診断

    ペネトレーションテスト インシデントレスポンス Trust & Safty Product Security セキュリティポリシー・規程の管理 セキュリティ監査 教育啓発 グループガバナンス リスク管理 情報セキュリティマネジメント ISO27000/27017等の取得・維持 ISMAP LIUの取得維持 認証 3グループ、4チームで構成されている組織 認証グループ(2名)
  5. ©Sansan, Inc. コーポレートシステム部の紹介 - Mission - EXをシンプルにする - Vision -

    社外に誇れるIT環境を作る - Values - Lead the employee - 良いものは活用し、無いものは作る
  6. ©Sansan, Inc. コーポレートシステム部の組織体制 社員および外部協力メンバーの約55名(比率50:50)で構成されている組織 コーポレートシステム部 全社IT領域(約30名) 事業IT領域(約25名) システム企画 PJマネジメント 購買・予算管理など

    System Planning インフラ設計・構築、 オフィスネットワーク 設計・構築、 SaaS導入・管理、 SRE等 Platform Engineering システム運用業務改善、 アカウント管理、 デバイス管理、 ヘルプデスク等 IT Service Management Salesforce上のWebアプリケーション Eight業務システムの開発運用、 Gainsightのシステム管理等 Application コーポレート・マーケティン グ用Webサイトのインフラ設 計・構築・運用等 Web Infrastracture
  7. ©Sansan, Inc. Sansanゼロトラストの変遷とOktaの活用 過去:2020〜 Phase 1 現在:2023〜 Phase 2 未来:2024〜

    Phase 3 働き方の多様性への 対応 高度なサイバー攻撃へ の対応強化 アカウント 完全集中管理 Okta WIC Okta Device Trust (Okta Workflows) ゼロトラスト の変遷 Okta の活用
  8. ©Sansan, Inc. Sansanでのゼロトラスト導入背景 1. セキュリティ脅威への対応 - サイバー攻撃の高度化に伴い、従来の境界型防御が難しくなった - 会社の急成長や社員数の急増のフェーズで性善説が成り立たなくなった 1.

    環境や多様な働き方への対応 - 各地に拠点が増えてきており柔軟に対応する必要があった - コロナ禍の影響で在宅勤務への切り替えに対応できる環境を構築する必要があった ⇒ ゼロトラスト環境構築へ
  9. ©Sansan, Inc. 初期ゼロトラスト構成 ID管理 デバイス管理 マルウェア対策 EDR MDM SIEM ログ基盤

    クラウド サービス 利用者 IDaaS インター ネット 脅威可視化 UEBA
  10. ©Sansan, Inc. 認証基盤に関わる課題 1. セキュリティ側面での課題 - 脆弱性の多いオンプレミスADの限界 - 多要素認証がないサービスなどでの認証強度の不足 1.

    利便性/効率性側面での課題 - 従業員の急増によるアカウント管理の煩雑化 - 既存多要素認証方式のユーザビリティーの低さ ⇒ Okta WICを導入へ
  11. ©Sansan, Inc. Okta WIC導入後の効果 1. セキュリティ側面の効果 - 認証の基盤をオンプレミスADからOktaに移すことで堅牢性を向上させることができた - 多要素認証を必須化し、セキュリティレベルを向上させることができた

    2. 利便性/効率性側面の効果 - Oktaのプロビジョニング機能によりアカウント管理担当者1名分程度の工数削減が実現された - 柔軟な多要素認証対応によってUXをシンプルにし、認証ステップを半分にしてユーザーの利便 性を担保することができた
  12. ©Sansan, Inc. ペネトレーションテストが突きつけた課題 ペンテストで重要情報にリーチされて判明したこと 高度なフィッシングに対して さらなる対策強化が必要 ④正規サイトからMFA要求 フィッシング サイト ①フィッシングメール

    ②サイトアクセス ③フィッシングサイトが プロキシとして正規サイトを中継 ⑤認証済みセッション を入手してアクセス 課題① 課題② Google Workspace等 各種SaaS 1. 多要素認証を回避してユーザーの認証済みセッ ションを窃取する方法がある 2. 認証済セッション詐取されるとそれを利用して 重要な情報資産へアクセスされる
  13. ©Sansan, Inc. なぜOkta Device Trustを選定したか Okta A社 B社 フィシングへの耐性 〇

    △ △ 耐タンパ性の確保 〇 〇 〇 端末衛生による認可制御 〇 〇 △ 不審接続のログ管理 〇 △ △ 導入・運用の容易さ 〇 △ × 年間コスト(導入+ランニング) 〇 ✕ △ - 機能面、コスト面の両方でOktaが最適と判断 - 中間者攻撃の疑いのあるアクセスを検知して通知する機能がある - アクセスの都度、端末状態を認証しセッションの使い回しを制御が可能 - 端末衛生による制御が可能 - すでにOkta WICを導入済みのため機能追加として導入しやすく、コストゼロで対応可能
  14. ©Sansan, Inc. Okta Device Trust 導入による効果 重要情報資産(SaaS) 会社PC 攻撃者 Cred

    + MFA Session 重要情報資産(SaaS) 会社PC 攻撃者 Device Trust Session • Okta連携するサービスについて信頼する端末を識別して、高度なフィッシングへの耐性を高めた • 重要情報資産へのアクセス都度、端末状態を認証しセッションの使い回し不可 • パスワードレスによる利便性向上 ( 社員の93% がOkta FastPassにてパスワードレスで利用中) • わずか2か月で全社展開、切替完了 Oktaの認証ができれば全て のアプリが侵害される 認証状態が盗まれると、ど のPCからでも悪用可能 アプリへのアクセス都度、 認証を行う 盗めない証明書で認証、 管理端末外はアクセス不可 Before After Google Workspace等 各種SaaS Google Workspace等 各種SaaS
  15. ©Sansan, Inc. Okta連携しないサービスについても、Oktaの Worlflowsや内製開発などで一元管理する仕組みを検討中 Okta未連携サービス管理の集約化 サービス群 ログイン SSOログイン 直接ログイン サービス群

    アカウント登録 アカウント作成・削除 アカウント登録 Okta連携しないサービス群 Okta連携するサービス群 Oktaアカウントで管理 アカウント作成・削除 API Okta アカウントを 紐づけて一元管理 Workflows Non Okta ⇒ 上記の仕組みをOkta Workflowsで実現できないか検証中
  16. ©Sansan, Inc. アカウント完全集中管理の期待効果 1. セキュリティ側面での効果 - 入退社プロセスにおけるアカウント作成・削除漏れの発生確率が下がる - インシデント発生時のアカウント権限の可視性が向上する 2.

    利便性/効率性側面での効果 - 手作業によるアカウント作成・削除の作業工数が低減される - アカウント管理を集中して行えるのでが作業効率が上がる ⇒ アカウント完全集中管理ができればゼロトラストの理想形にまた一歩近づく