こんにちは、ヤプリでセキュリティを担当している望月です。
この前いちご狩り(食べ放題)に行きましたが、30分間いちごを食べ続けるのが辛い年齢に差し掛かってきました。
本題となりますが、先日Flatt Security様のProduct Security Summit 2024というイベントで、最近のセキュリティの取り組みについて発表させていただきました。
発表の概要
今回はLTということで、我々が実践している具体的なプラクティスを中心にコンパクトにまとめています。
以前SRE NEXTにおいて、同じくセキュリティの取り組みについて発表させていただきました。
この時は株式上場を起点としたSRE領域のセキュリティが主な内容でしたが、今回は会社・エンジニア組織全体としてセキュリティに向き合うための活動の話です。
tech.yappli.io
私自身がセキュリティにバックボーンを持つエンジニアではないということもあり、勉強と挑戦と失敗と改善の日々を過ごしています。
そんな状況の中でも、ヤプリなりのセキュリティの型みたいなものが徐々に確立されてきました。
泥臭いプラクティスが多いですが、その気になれば今日からでも実践できるものばかりです。
セキュリティを任されたが何から手をつけたら良いのだろう、と悩まれている担当者の方のちょっとしたヒントになれば幸いです。
- ISMS、CIS Controls v8、AWS Well-Architected Frameworkのフレームワークを併用している
- 自動と手動をうまく組み合わせてセキュリティエンジニアが重要が業務に集中してもらう
- エンジニアが集まる社内イベントでセキュリティコンテンツを提供する
- セキュリティとプライバシーの間を埋める
など
セキュリティエンジニア・セキュリティ担当がいくら優秀でも、それだけでは会社全体としてのセキュリティはなかなか向上していきません。
ステークホルダーを巻き込んで自分事としてもらい、皆でセキュリティについて考えていけるような文化・環境を引き続き目指していきたいと考えています。
最後に
今回は久しぶりのオフラインイベント参加となりました。
オンラインの便利さも良いですが、オフラインの熱気もまた良いものです。
貴重な機会を設けていただいたFlatt Security様ありがとうございます。
今回のまとめです。
- 事業拡大によって組織課題となったセキュリティ
- セキュリティの推進者を明確に定めて
- 振り返り・分析→可視化→共有・議論→対策・仕組み化のサイクルを継続的に回し
- 組織全体でセキュリティを考えていく土台を作っている
ヤプリのセキュリティ・セキュリティエンジニア採用に興味のある方はこちら
open.talentio.com