Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録

Yuta Kawasaki
March 02, 2023
Technology
0
12

ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録

# サマリ
ジョーシス主催「ジョーシス ラーニング」に登壇した際の資料
https://jp.josys.com/seminar/20230302

タイトルは「ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録」

# 補足
以下のセミナーの中でジョーシス / Netskopeのユーザー企業として、苦労した点や工夫した点を整理して話をさせていただきました。
---
本セミナーでは、新しい働き方に合わせたセキュリティ対策として、リモートワークを行うにあたって必要な対策やシャドーITへの対応方法について、徹底解説いたします。

コロナ禍でリモートワークが新しい働き方として多くの企業で導入され、社員が在宅で働くことが当たり前な時代になってきました。

そんな新しい働き方として根付いていくリモートワークは、どこでも作業できるというメリットがありますが、管理自体が難しいというデメリットもあります。
また、リモートワークだけではなくコロナの影響で広がったシステムのクラウド化によって管理者が把握しきれないWebサービス、いわゆるシャドーITが急増してきてしまっている企業も少なくないでしょう。

本セミナーでは、新しい時代に必要不可欠なリモートワークやシャドーIT対策を中心に実際の事例を交えてご案内します。

Yuta Kawasaki

March 02, 2023
Tweet

More Decks by Yuta Kawasaki

See All by Yuta Kawasaki
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
yutakawasaki0911
0
10
PagerDutyを活用したオンコール運用の軌跡(ココナラ編)
yutakawasaki0911
0
18
SIEMってサイトの信頼性向上に 寄与するの?
yutakawasaki0911
0
6
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
yutakawasaki0911
0
17
技術広報経験0のEMがエンジニアブランディングをはじめてみた
yutakawasaki0911
0
86
技術広報経験0のEMがエンジニアブランディングをはじめてみた 〜技術広報に向き合うことでの個人と組織の成長〜
yutakawasaki0911
0
31
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、 PDCAサイクルを回してみた
yutakawasaki0911
2
8
SIEM on Amazon OpenSearch Serviceを活用しよう! ~WAFログ分析の課題と勘所~
yutakawasaki0911
1
26
ココナラが膨大なセキュリティログの可視化と分析を実現するまで
yutakawasaki0911
0
10

Other Decks in Technology

See All in Technology
TiDBにおけるテーブル設計と最適化の事例
cygames
0
770
【TSkaigi】2024/05/11 当日スライド
kimitashoichi
14
3.9k
汎用ポリシー言語Rego + OPAと認可・検証事例の紹介 / Introduction Rego & OPA for authorization and validation
mizutani
1
100
生成AIと産業向けソフトウェアの自動生成 〜 ハノーバーメッセ2024より〜
kioto
2
420
Secrets of a PowerShell "Guru"
guyrleech
1
120
データ基盤を支える技術
chanyou0311
5
2.9k
OPENLOGI Company Profile
hr01
0
45k
大規模言語モデル (LLM)における低精度数値表現
pfn
PRO
3
790
kcp: Kubernetes APIs Are All You Need #techfeed_live / TechFeed Experts Night 28th
ytaka23
1
180
OPENLOGI Company Profile for engineer
hr01
1
2.1k
Prisma ORMを2年運用して培ったノウハウを共有する
tockn
19
5k
Observabilityジャーニーを実現するためのAWSサービス:OSS編
o11yfes2023
0
110

Featured

See All Featured
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
21
1.6k
Building Your Own Lightsaber
phodgson
100
5.7k
Agile that works and the tools we love
rasmusluckow
325
20k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
67
14k
GraphQLとの向き合い方2022年版
quramy
33
12k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
228
16k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
0
110
Web Components: a chance to create the future
zenorocha
306
41k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
8
3.5k
The Power of CSS Pseudo Elements
geoffreycrofte
62
5k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
221
21k

Transcript

  1. Copyright coconala Inc. All Rights Reserved. ココナラにおけるジョーシス / Netskope適用に向けたアプローチ実録 株式会社ココナラ

    システムプラットフォーム部 情報システムグループ 川崎 雄太

  2. Copyright coconala Inc. All Rights Reserved. 2 Agenda ココナラで抱えていたセキュリティの課題 ココナラがジョーシス

    / Netskopeを導入した背景 ジョーシス / Netskopeを導入するメリット・効果 ジョーシス / Netskopeを導入するにあたり苦労したこと まとめ 1 2 3 4 5

  3. Copyright coconala Inc. All Rights Reserved. 発表者紹介 3 川崎 雄太 Yuta

    Kawasaki 株式会社ココナラ システムプラットフォーム部 情報システムグループ 兼 システムプラットフォームグループ Group Manager 2020年 株式会社ココナラ入社 プロダクトインフラ・SRE領域と社内情報システ ム領域を担当 2021年にCSIRT立ち上げから携わり、セキュリ ティの企画から運用まで従事

  4. 一人ひとりが「自分のストーリー」を 生きていく世の中を作る

  5. Copyright coconala Inc. All Rights Reserved. 5 知識・スキル・経験を商品化して 「ECのように売買できる」マッチングプラットフォーム product

    ココナラの事業内容

  6. Copyright coconala Inc. All Rights Reserved. 6 スキルシェア領域において圧倒的No.1を目指す 知識・スキル・経験を商品化し、「ECのように売り買いできる」 マッチング型プラットフォーム。

    6 スキルマーケット「ココナラ」とは?( 1/2)

  7. Copyright coconala Inc. All Rights Reserved. 会員登録者数は 314万人以上(2022年8月時点) スキルマーケット「ココナラ」とは?( 2/2)

  8. Copyright coconala Inc. All Rights Reserved. ココナラの情報システム部門とは( 1/2) 8 2021年12月に情報システムグループを新設

    • 2020年5月に1人情シス、2021年9月にCSIRTを立ち上 げ、2021年12月に組織化を実施。 ◦ それまでは情シス専門組織はなく、インフラ・SREエ ンジニアが手の空いたときに対応 • 2023年2月時点で5名の組織、社内情報システムとセキュ リティの企画から運用まで担当している。 ◦ リソースが限られているので、優先度の高い施策を効 率的に遂行することが不可欠

  9. Copyright coconala Inc. All Rights Reserved. ココナラの情報システム部門とは( 2/2) 9 社員数は増加中、情シスの役割範囲はより広がる

    ※2022年11月時点 「社員数が増加する =従業員のIT利便性 がより重要になる」と いう構図のため、情 シスに求められる 期待値も高まって いく。

  10. Copyright coconala Inc. All Rights Reserved. ココナラで抱えていたセキュリティの課題 Chapter 01 10

  11. Copyright coconala Inc. All Rights Reserved. 2021年情報システム部門立ち上げ時のセキュリティ課題(概要) 11 現状の認識が弱く、どの順番で何をすればよいか?が不明確 •

    セキュリティの専門部署がなく、どのようにロードマップを描 き、合意形成し、計画して登っていけばよいか不明確。 • セキュリティの課題がリストアップされておらず、「もぐらたた き」で対応をしていた。 ◦ 今回はここにフォーカス!

  12. Copyright coconala Inc. All Rights Reserved. 【参考】セキュリティ課題の対応サマリ 12 内部脅威・外部脅威に分類し、状況の可視化を実現 ※2021年時点の状況

    数字が小さいところが 対策できていない箇 所=優先して対応す べき事項。 例えば、不正持出 や紛失・盗難の対 策が不十分だった。

  13. Copyright coconala Inc. All Rights Reserved. 2021年情報システム部門立ち上げ時のセキュリティ課題(詳細) 13 内部脅威への対策が特にできていない状況だった •

    EDRの導入や持ち立ち対策、セキュリティの規定策定や教 育は一定できていたが、個別最適になっており、抜け道 が多数存在していた。 • 上記状況であったが、事業のグロースを鑑みると他の施策 (ex.M1 / M2アーキテクチャへの対応)を優先せざるを 得なかった。

  14. Copyright coconala Inc. All Rights Reserved. ココナラがジョーシス / Netskopeを 導入した背景

    Chapter 02 14

  15. Copyright coconala Inc. All Rights Reserved. ココナラが解決したい課題 15 内部脅威の状況の可視化とプロアクティブな遮断対応 •

    ココナラの情報システム部門が立ち上がってまだ1年程度 のため、「シャドーIT」が一定数存在していることは把握 できたが、全量はわからなかった。 • 情報の不正持出しの経路は多数あり、なにか問題があっ た際の追跡すらできない状況だった。

  16. Copyright coconala Inc. All Rights Reserved. 打ち手としてのジョーシス 16 連携可能なアプリの状況を可視化し、シャドーITを検知

  17. Copyright coconala Inc. All Rights Reserved. 打ち手としてのNetskope 17 可視化 /

    ロギングだけでなく、持ち出し行為を制御

  18. Copyright coconala Inc. All Rights Reserved. ジョーシス / Netskopeを導入する メリット・効果

    Chapter 03 18

  19. Copyright coconala Inc. All Rights Reserved. ゼロタッチデプロイの実現 19 アカウント自動作成 〜

    管理を一気通貫で実現

  20. Copyright coconala Inc. All Rights Reserved. クラウド環境におけるセキュアな環境の実現 20 EDR連携によるマルウェア検知・悪意のある行動抑止を実現

  21. Copyright coconala Inc. All Rights Reserved. ジョーシス / Netskopeを導入するにあたり 苦労したこと

    Chapter 04 21

  22. Copyright coconala Inc. All Rights Reserved. 経営層に対しての意義説明のハードル 22 投資対効果(ROI)を定量的に説明することが難しい •

    「万が一、問題が発生した場合の対応コスト」と「ソリュー ションの費用」を比較するが、前者の発生確率を正しく説 明できないと、合意形成が難しい。 ◦ ココナラでは、「発生確率」を社外インシデント事例など をベースに試算し、経営層に対して説明を実施した

  23. Copyright coconala Inc. All Rights Reserved. 実運用のイメージ具体化の難しさ 23 導入して終わりではなく、いかに運用するか?がポイント •

    ソリューションの導入コストは導入前に正しく見積もれるが、 運用コストはなかなか正しく見積もることが難しい。 ◦ ココナラでは、他社事例や別のセキュリティ運用を参考 値として、運用コストを試算した

  24. Copyright coconala Inc. All Rights Reserved. まとめ Chapter 05 24

  25. Copyright coconala Inc. All Rights Reserved. ジョーシス / Netskopeを用いて、「不」を解消する 25

    ココナラの課題を解決するために不可欠なソリューション • ジョーシス / Netskopeともに内部脅威 / 外部脅威から守る ためには無くてはならないソリューション。 ◦ 連携アプリや機能も発展途上で今後が楽しみ • 前述の通り、効率的・効果的に使うことが求められるの で、今後も2社とのリレーションを構築して、より良い運用を 実現していくことが重要。

  26. Copyright coconala Inc. All Rights Reserved. 最後に… 26

  27. Copyright coconala Inc. All Rights Reserved. ココナラでは、一緒に事業のグロースを 推進していただける様々な領域のエンジ ニアを募集しています。 27

  28. ユーザーのストーリーを テクノロジーでサポートする エントリーお待ちしてます! coconala engineer 採用 https://coconala.co.jp/recruit/engineer https://speakerdeck.com/coconala_hr/coco nala-company-profile-for-engineer

  29. Fin

  30. Copyright coconala Inc. All Rights Reserved. Appendix Chapter 06 30