Zenn
🧑🏻‍🏫

ジョーシス主催「ジョーシス ラーニング」に登壇しました

2022/10/18に公開
Security
#
siem
#
セミナー登壇
#
ジョーシス
tech

こんにちは!
株式会社ココナラのシステムプラットフォーム部でプロダクトインフラと社内情報システムを担当している ゆーた と申します。

2回目のブログ投稿になりますが、前回に引き続き、登壇レポートです。
10/6(木)にジョーシス社主催のジョーシス ラーニングへ登壇しましたので、その内容をご紹介します。

前回は登壇資料からプロフィールを抜粋しましたが、今回はイベントに掲載していたプロフィールを載せました。

自己紹介

今回は10/14(金)のイベントで正式オープンするジョーシス社のイベント会場を特別に利用させていただきました。

登壇会場

登壇直前にジョーシス城戸さんとラクスル取締役CTO泉さんと記念写真を取りました。
今回はココナラのPRを目的にココナラパーカーで登壇しました。

登壇前

セミナーのテーマ

「ジョーシス ラーニング」は以下の2点をテーマに運営されているセミナーです。

  1. 「学んで繋がる 情シスのコミュニティ」をコンセプトとして、情シスの方々が会社を超えて学び合い、繋がっていくことができるコミュニティです
  2. オンラインでのウェビナーやオフラインでの交流会を通して、各社のベストプラクティスや最新のサービス/テクノロジー紹介、情シスのキャリアなど、お役立ちコンテンツをお届けします

登壇内容

前半は「ココナラにおけるAWSセキュリティ課題の対応実録 ~上場に向けたSIEMを活用したログ分析~」というテーマでお話しました。
具体的には以下の内容を説明しています。

  1. ココナラにおけるセキュリティ課題と登り方
  2. WAFログ分析を中心としたSIEM on Amazon OpenSearch Serviceの活用方法
  3. 今後のテーマ

登壇中の風景です。
登壇中

後半はラクスル取締役CTOの泉さんとパネルディスカッションを行いました。
パネルディスカッションでは、以下の2つをテーマにお話をさせていただきました。

  1. 上場準備のため”だけ”にさせない体制構築に向けて、何に苦労したか?それを乗り越えるポイントは?
  2. セキュリティ対策は無限大。予算が限られる中で、社内・経営陣の巻込みを推進するために重要なことは?

ココナラにおけるセキュリティ課題と登り方

まずは、ココナラでセキュリティ組織立ち上げ前の状況や課題を赤裸々にお伝えさせていただきました。

セキュリティ組織立ち上げ時点では、「もぐらたたきによる対応」「問題ドリブンでの対応」 になっており、プロアクティブに対応していたとは言い難い状況でした。
そこから1つ1つ紐解いて進めていくことで、効率的・効果的なセキュリティ課題対応を実現しました。

セキュリティ課題

セキュリティ課題まとめ

WAFログ分析を中心としたSIEM on Amazon OpenSearch Serviceの活用方法

次に、SIEM on Amazon OpenSearch Serviceの活用方法を紹介しました。

アーキテクチャーの説明をはじめ、実際にココナラがどういうダッシュボードをどのように見ているか?や、どのような定常運用に落とし込んで対応しているか?を事例ベースで紹介しました。

SIEM1
SIEM2

今後のテーマ

最後に、ココナラが今後注力していくことを取り上げました。

技術の継続的なリファクタリングももちろん重要ですが、経営層の理解も同じぐらい重要ということを伝えています。

今後のアクション1
今後のアクション2

パネルディスカッション

1つ目のお題が「上場準備のため”だけ”にさせない体制構築に向けて、何に苦労したか?それを乗り越えるポイントは?」でした。
ちょうど上場の半年程前にココナラへジョインしていたので、肌感覚としては、以下のように感じていました。

  • 苦労した点
    • (あるあるかもしれないが)「上場がゴール」になってしまい、その後の運用をあまり考えないまま、体制検討が進んでしまった
    • 上場後にどのような状況になるか?の予測が難しかった
  • 乗り越えるポイント
    • 上場前よりも上場後の方が会社の認知度が高まり、セキュリティに対する要望が高まることが自明なので、数パターン仮置きして短期だけでなく、中長期の体制検討を行った
    • 3カ年のロードマップを指し示すことで、どのタイミングにどのぐらいの工数が必要となるか?から逆算し、体制を決めていった

2つ目のお題が「セキュリティ対策は無限大。予算が限られる中で社内・経営陣を巻込み、推進するために重要なことは?」でした。
私としては以下の3点と感じています。

  1. 会社のセキュリティの状態を可視化し、評価する
  2. リスクが顕在化した場合の影響を定量的に示し、現在の課題を理解してもらう
  3. どのように登っていくか?のロードマップを指し示す

セキュリティや情報システムを投資ではなく、コストと見る経営者も少なくないと思います。
その場合は社外のインシデント事例などをもとに「対岸の火事ではない」という当事者意識をもってもらえることが大事だと思います。

パネルディスカッションの風景です。楽しく和やかに取り組ませていただきました。
パネルディスカッション1
パネルディスカッション2

苦労した点と工夫した点をリンクさせることで、肌感覚がつかみやすいコンテンツになったのではないでしょうか。
「IPOを目指している企業」「IPO後でより一層セキュリティ対策を強化しなければならない企業」 に対して、持ち帰ることができる内容や示唆を出せたかなと思います。
何かしらの参考になれば幸いです。

まとめ

登壇資料は以下に公開していますので、ご興味のある方はぜひご覧ください。

登壇の目的

9月にAWS社主催のセミナーに登壇した際に2つ考えていたのですが、今回は少しミクロな観点で考えていました。
前回の登壇レポートは以下をご参照ください。
https://zenn.dev/coconala/articles/65f7e1a93e2a02

今回は 「ココナラの情報システム領域のプレゼンス向上」 を目的にしていました。
カンファレンスのスポンサーや登壇、事例掲載を積極的に行っているものの、情報システム領域については皆無な状況でした。

ココナラというサービスは認識されていても、その中の情報システム領域では一体何を目指しているのか?を伝えることができていなかったので、今回の登壇で少しでもプレゼンス向上に繋がっていたら幸いです。

登壇してみてどうだったか?

今回、ご縁がありまして、ジョーシス社から登壇のお声がけをいただきました。
AWS社主催のセミナーに登壇したことも見てくださり、「ぜひジョーシス ラーニングでも登壇してほしい!」と連絡をいただいたことがきっかけです。

ラクスルCTOの泉さんと会話する貴重な機会もいただけましたので、とても刺激になりました。
また、ココナラと同じような"不"を抱えている会社も多数あることがわかりましたので、今後の情シス業界の盛り上げにも貢献していきたいと思いました。

今後も登壇の機会をいただけるようでしたら、積極的にチャレンジしようと思います!

最後に

繰り返しではありますが、情報システム関連のコミュニティーは数も少なく、横とのつながりが希薄になりがちです。
そこの一助になろうとしている「ジョーシス ラーニング」の今後の発展に、微力ながらも協力していきたいと思いました。

このような機会を与えてくださったジョーシス社のスタッフの皆様には改めてお礼を申し上げます。

ココナラでは、一緒に事業のグロースを推進していただける様々な領域のエンジニアを募集しています。
情報システム領域だけでなく、フロントエンド領域・バックエンド領域などでも積極的にエンジニア採用を行っています。
少しでも興味を持たれた方がいましたら、エンジニア採用ページをご覧ください。

https://coconala.co.jp/recruit/engineer

私の管掌であるコーポレートITやCSIRTはプロアクティブかつ積極的に仕掛けて行きたいと考えています。
「攻めの情シス」を実現したい方、ぜひご応募をお待ちしています!
採用情報はこちらです。(2022年10月時点の情報です)

https://open.talentio.com/r/1/c/coconala/pages/71352

Discussion