Scramble! #2 Security

https://media.connpass.com/thumbs/61/15/611594826ea69706d01955c0aa801f41.png

https://folio.connpass.com/event/109213/

株式会社FOLIO

第一種金融商品取引業者（2017~）

従業員約100名（2018/9）

FOLIO のこれまでの情報セキュリティへの取り組みについて / @kenchan0130

https://speakerdeck.com/kenchan0130/scramble-number-2-security

バックエンドの人間が未経験ながら社内情報システム関わってきた昔話

〜50人：さぐりさぐり構築

50人〜100人：片手間回らなくなる

100人〜：中規模運用 ←今ココ

情報セキュリティの導入

端末の導入

ログの収集

端末管理

認証系

社内で使っているもの

2016年〜

立ち上げ段階

機種の選定

価格優先

用途に応じたカスタマイズ

ソフトエンジニアリング

顧客個人情報閲覧

通常業務

お金があまりなかったので細かいカスタマイズして節約

Microsoft Active Directory

Windows機

Profile Manager

MacOS機

エンドポイントツール

自社サーバ

クラウド＝悪という風潮

オンプレで頑張っていた

2016年中盤〜後半

etc

徐々にクラウドツールに移行

パスワード管理ツール

iOS

Android

2017年後半〜2018年前半

MacOS

Profile Manager

オンプレで管理が大変・崩壊気味

jamfに移行

https://www.jamf.com/ja/

Windows

Windows 10 Enterprse

Device Guard

Credential Guard

〜未来

ログ収集基盤の刷新

モチベーションの継続

怠惰・短気・貪欲

まとめ

端末導入・管理、エンドポイント・セキュリティ、IdP、社内ツールなど色々やっていきました

みんなでもできる！

セキュリティの優先度

みんなの作業を止めないための情報セキュリティへの取り組み

セキュリティが担保されていない状況があったところから徐々に取り入れる

土日に立ち上げ

FOLIOの情報戦略のこれから - 社内システムを添えて / @ken5scal

https://speakerdeck.com/ken5scal/foliofalseqing-bao-zhan-lue-falsekorekara-qing-bao-sisutemuwotian-ete

前職：株式会社マネーフォワード

2017/11手伝い

2018/01入社

AWS IAM

AWS GuardDuty

ペネトレーションテスト

Web脆弱性診断

LINE連携対応

外部団体連携

要件

総合監督指針

主要行等向けの総合的な監督指針

システムリスク

サイバーセキュリティ

FISC安対

設計

CSF

NIST

AESなど暗号技術の選定と標準化など

実装

Zero Trust Model

複数のデータから算出するリスク評価

risk ( 0 < y < 1) = f(net work, id, device , edr...)

データ中心の実装

社内システムの話

MicroSoftの肩に乗る

データのメトリクスを取れる数が半端ない

Azureに集約

people

Devices

Services

Data

SharePoint

データが横断的に連携できる

業務端末からのアクセスのみ許可

個人端末からは特定のサービスだけのアクセス

リスク高い端末のアクセス制限

MicroSoftが得意じゃないところもAPI連携できる

補完的なサービス（Control Plane）連携

端末インベントリの集約

EDRの集約

メリットやおもしろいことはあるが、いろいろと大変なことは多い

理想は追求…

本質とデータ追求したセキュリティを是非やろう！

FOLIOのシステムリスク管理態勢について / 佐藤浩樹@FOLIO

フィナンシャルテクノロジー部（サービス提供）

フロントエンド

バックエンド

モバイルアプリ

情報戦略部（組織横断）<= ココ

IT内部統制

ヘルプデスク

リスク管理

金融省の監督指針

https://www.fsa.go.jp/common/law/guide/kinyushohin/

システムリスク管理態勢

システム障害だけではなく

情報セキュリティ・サイバーセキュリティに関するリスクもある

リスクが顕在化した場合の対応（インシデント）も含まれる

危機管理態勢

自然災害

事故

風評

データ盗難

データ入力ミス

人事上トラブル

まずは結果事象ベースへ移行予定

リスクマネジメント

クラシス（危機）マネジメント

これからリスク管理に注力

テーマ投資リリース

LINEスマート投資リリース

おまかせ投資リリース

システムリスク態勢の管理など保守的な部分の強化

３線モデルがデファクトになった組織を目指す

執行

技術的な業務

CSIRT

統制

管理的な業務

外部組織との連携

金融ISAC

FIRE2018の演習に参加

NCA

日本CSIRT協議会

クックパッドのセキュリティログ検索基盤の紹介/ @m_mizutani

クックパッド株式会社

セキュリティ監視全般の設計・実装

https://speakerdeck.com/mizutani/security-log-search

なぜ人はセキュリティログを検索するのか

インシデントがあったかどうか・影響があったか

実際に起きた時にどれくらいの影響があったか

それぞれ「仮設を立てて」「ログを絞り込んで」「分析・考察する」

迅速な調査は作業時間の短縮になある

要件

横断的な検索

セキュリティに関連する値を出現するログを一度に検索したい

ログの投入時に多様なスキーマを受け入れる

インタラクティブな検索

アラートの調査は探索型分析

長時間のログも検索できる

インシデント発生時の追跡で時間を遡る必要がある

技術的チャレンジ

投入できるログ流量と保持できるログの量

お金でスケールアウトできるが…限界はある

投入されるログのスキーマ管理

すべてのスキーマ管理は高コスト

人間が把握するのには限界がある

セキュリティ以外の用途での利用

全スタッフが見えるのがまずいときは権限の管理

Graylog

高速に検索

インタラクティブな検索

スキーマを気にしないでログを投入

ユーザの権限を細かく指定できる

Stream毎にログの保存期間を調整可能

構成

AWS+Atlasで構築

ログ流量：220M msg/day

CPU使用率：平均20%程度

Athena (AWS)

それ以外は直接S3から読み取りAthenaで検索

S3での保管

長期保管場所として利用

検索で使用する

Parquet形式は安く済む