“アジアでも有数”規模のITインフラ・セキュリティを守る　僕らがLINEのサイバーセキュリティ・チームで働く理由

サイバーセキュリティ室のチーム紹介

市原尚久氏（以下、市原）：本日はお集まりいただきましてありがとうございます。私はサイバーセキュリティ室の室長をしています、市原と言います。よろしくお願いします。それから今日は後ほど紹介しますが、うちの3人のマネージャーが参加しています。よろしくお願いします。

最初の10分は全体のチーム紹介の話を私からしたいと思います。そのあとセキュリティエンジニアによるパネルディスカッションということで、エンジニア兼マネージャーの3人が今日は登壇します。いろいろLINEの中の話についてお話ししたいと思っています。その最中でQ＆Aのところがあると思いますが、適宜質問してください。こちらでキャッチアップするようにいたします。

それではさっそく始めたいと思います。まずはじめに、サイバーセキュリティ室のチーム紹介ですね。サイバーセキュリティ室には、大きくセキュリティセンターというLINEの中のセキュリティを全体統括している組織があるんですけど、その下の特に技術系、エンジニアが集まっているのがサイバーセキュリティ室になります。

本務従業員がだいたい40名前後で、それ以外も含めて66名ということで、けっこう大所帯にはなっています。また、非常に国際色豊かなメンバーが揃っています。この辺も後ほど触れたいと思います。

私の自己紹介を簡単にします。市原と申します。前職はSIerでいろいろコンサルをやったり幅広くやっていたんですけど、2015年にLINEに入社してからはアカウントセキュリティ、乗っ取りや認証関係の課題の改善だったり、インシデントの対応をしたりTrust＆Safetyに関係するようなグローバルissueの対応や、標準化活動イベントのコーディネートなどを手掛けています。本日はよろしくお願いします。

先ほどサイバーセキュリティ室、今日は上から順番にチーム名でいうと「Trust＆Safetyチーム」「Security R＆D」「Application Security」「Infra Protection」「CSIRT」の5種類のチームがあるんですけど、この内のApplication SecurityとInfra Protectionに主にフォーカスを充てて、あとはCSIRTも少しカバーしてお話ししたいと思います。

Application Securityのお仕事

市原：では、はじめにApplication Securityですね。名前のとおりアプリケーションなので、LINEに関係するアプリケーション、サービス全般のセキュリティを、企画の段階からリリースする前、それからリリースしたあとも含めて、セキュリティ品質の面倒を見るところですね。診断したりコンサルしたり、それからLINE Security Bug Bounty Programを通じて受けた報告の脆弱性の確認をしたり、開発部門を調整したりというところを全般やっています。

今話したことがここに書いてあります。リリースする直前に脆弱性診断をやっています。基本的に、この辺もエンジニアが主体となってやっていて、特に外注に丸投げとかは一切ないですね。それからLINE Security Bug Bounty Programを通じて、外部からの脆弱性の報告も引き受けており、これも日々飛んでくるので、この脆弱性の確認をして、その報奨金を決定したりという活動もしています。

それからリリースのもうちょっと前の段階で、企画から開発初期の段階に関してセキュリティ・コンサルティングもやっています。これは非常に幅広いタイプのアプリケーションがあるので、幅広い知識だったりノウハウが必要になってくるところなので、当社のエンジニアが担当しています。

それ以外にも、サーバーの脆弱性に関しても巡回監視のスクリプトを作ったり、そういうのを自主的に開発したり運用したりも、けっこうチーム内でどんどん自分たちで判断して、開発して、運用して、といったこともやっています。

今お話したのが、左から右にプランからリリースまで流れていく中の、この赤枠のところです。一番左のPIAは「Privacy Impact Assessment」ということで、情報セキュリティやプライバシー系のPrivacy Impact Assessmentは情報セキュリティ室が担当し、それ以外の矢印はApplication Securityが中心になって対応しています。もちろんInfra Protectionが対応するところも一部あります。

以上がApplication Securityの説明になります。

Infra Protectionの概念

続いてInfra Protectionの説明です。チームとしては、実は3つに分かれているんですけど、今日はまとめて1つでお話したいと思います。LINEのInfra Protectionチームの特徴としては、ITインフラ全般のセキュリティを支えているチームと思ってください。IT部門も別にいますが、そことかなり密にコラボレーションして仕事をしています。

ここに書いてあるように、OSのインスタンス、エンドポイント、トラフィック量も含めて、「アジアでも有数の」と言えるような規模のITインフラを扱っています。これに対するセキュリティということなので、非常に複雑ですし、ボリュームも非常に大きい。この規模に対応する体制なり、オペレーションなり、環境なりが必要ということがあります。

ここには、Infra Protectionはどういう概念で対応しているかが書いてあります。Deter ＆ ProtectとDetect ＆ Rescordが左と右に書いてありますね。いわゆるリスクを特定したりハードニングしたりというところから、モニタリングして脅威を検知してレスポンスするところですね。

この辺は、審査チームと非常に密に連携するところ。右側は特になんですけど、そういったチームになります。これはオフィス環境のインフラもそうですし、サービス環境のインフラも全部含めてです。

ここに私が言ったことがさらっとまとまって書いてある感じなのですが、インフラセキュリティに関わるあらゆるリスクの認識・評価・管理。これは机上の話だけではなく、実際に手を動かすところも含めてになります。

ネットワークに関しては、ネットワーク環境のセキュリティ設計・構築・運用ということで、例えば新しいサービス、最近だとタイにて、LINE初の銀行サービス「LINE BK」をローンチしましたが、そういったネットワーク環境のセキュリティ設計だったりとかは本当に開発の初期段階から入って、直接設計のプロジェクトに関わっているメンバーもうちの中にはいます。

また、サーバー環境のセキュリティ設計だったりハードニング。そういったサービスのプロジェクトに紐づく場合もありますし、社内のパブリッククラウドの環境に対しての話も含まれています。

また、それらのネットワークやサーバー環境のいろいろなサービスだったりネットワークトラフィックだったりとかに対するセキュリティソリューション。それからPCだったりとかに取り入れられるようなセキュリティソリューションの導入前の評価と導入・運用みたいなことも全般的に対応しています。

各取り組みの大規模サーバー環境対応ということで、先ほどお見せしたような大規模環境にちゃんとスケールするような運用環境を構築したりとか、パブリッククラウドとプライベートクラウドの混在したハイブリッドの環境にも対応したり、あとは自動化や高度化とかといったところの対応もやっています。

ファンクション的にはだいたいこんな感じになっていまして。

募集している人物像

市原：ここに「新入社員」と書いてありますが、いわゆる採用でLINEに入る方に期待していることは、常にそうですけど、技術とかセキュリティに深い部分、トレンドにちゃんと興味をもっているか、といったところで。これは本当にセキュリティエンジニアのは土台になるところかなと思っています。

それから2つ目に大事なところは、人とのコミュニケーションがちゃんとできるというところですね。これはセキュリティの仕事で技術がわかっていること以外に、もう1つ非常に重要な部分かなと。問題を正しく伝えられること。それから問題解決まできちんと面倒をみたりスムーズなコミュニケーションが取れるということは、非常に重要な部分ですね。

それから3つ目、ここは本当にLINEの文化そのものだと思いますが、チャレンジすることが好きな人が合っていると思いますね。この辺の話もあとで、今日来ているセキュリティ・マネージャーとのコミュニケーションの中で出てくるかなとも思っています。

ということで、サイバーセキュリティ室について一応説明してきました。ミッションを掲げておりまして、「Providing a safe and build secure environment for users」と書いてありますが、その最後の3単語がけっこうこだわっているところですね。「Beyond expected standard!」。世の中にはいろいろなスタンダード、セキュリティの当たり前みたいなところであると思いますが、それを超えていこうと。

これは哲学的なことを言っているだけじゃなくて、実際我々の、日々の業務の中でも、どこかで意識しているところだと私は思っていて。さっきのチャレンジという言葉の裏返しでもあると思いますが、LINEだからこそ求められているセキュリティの姿だったり、Trustみたいなものだったり、そういったものがあると常に思っています。常に追求する必要があると思って、こういったミッションを掲げています。

ということで、ここまでがサイバーセキュリティ室の全体のお話をしましたが、ここからはセキュリティエンジニアによるパネルディスカッションということで、パネルと言ってもここにパネルはないんですけど、手元の資料でやっていきたいと思います。

自己紹介

では順番に自己紹介から始めましょうかね。Infra Protection1チーム、それからCSIRTもしている李志勳さんお願いします。

李志勳氏（以下、李）：みなさんこんにちは李と申します。今LINEのセキュリティセンターでインフラセキュリティを担当しています。2016年の6月に入社してから現在はLINEのサイバーセキュリティ室でインフラセキュリティに関する複数のチームをリードしています。あと、基本的にはチームのマネージャーとして、またセキュリティのアーキテクトとしても、複数のチームで進行しているプロジェクトや業務について、全般的な管理を行っています。

LINEに入社する前は、ずっと韓国で仕事をしていました。当時一緒に仕事をしていた同僚がいまして、その方が2014年にLINEに転職したときに、LINEのことを知って、それから2015年にLINEの技術カンファレンスであるLINE DEVELOPER DAYというイベントに参加しました。

そこで発表されたセキュリティ的なことについての内容や、あとはLINEの会社の説明を聞きながら、「LINEで仕事をしてみたい」という気持ちが湧いてきたことを覚えています。そのあとで、先に入社していたメンバーから誘われて、2016年に入社することになりました。

あと私は今妻と息子がいるのですが、LINEで働くためには、やはり日本に引っ越しすることが必要ということになり、そのときに初めて妻にいろいろ相談しました。当時は日本語が全然できなかったり、いろいろ難しいこともあり、大きなチャレンジでしたが、結論的には挑戦してよかったと思っています。よろしくお願いいたします。

市原：よろしくお願いします。2016年に入社したから、まだ4年と少しなんですね。

李：そうですね。

市原：こんなに短い期間でも日本語がしゃべれるようになるんだなという、すばらしい例だと思います。ありがとうございます。

李：（笑）。ありがとうございます。

市原：今日はよろしくお願いします。

李：よろしくお願いします。

市原：次は春木さんお願いします。

春木博行氏（以下、春木）：はい。インフラセキュリティを担当している春木と言います。よろしくお願いします。僕は主にオフィスまわりのインフラのセキュリティを担当しています。先ほど市原さんからもありましたけど、マルウェア対策やパッチ管理、EDRみたいなセキュリティソリューションの評価と導入と運用を行っています。

あとは、セキュリティに関わるログのプラットフォームも僕たちのチームで管理していて、そのログを活用した取り組みですね。自動化や何か新しい検知、ユーザーのセキュリティスコアを算出したりなど、そういった試みを今行っています。僕はサイバーセキュリティ室の中でも長く勤めているほうで、今年で11年になりました。

先ほどまた市原さんからあった話ですが、サイバーセキュリティ室はいろんなことにチャレンジできるので、その辺ですごくやりがいを感じています。今日はよろしくお願いします。

市原：よろしくお願いします。最後にヨンミンさん、自己紹介をお願いします。

鄭ヨンミン氏（以下、鄭）：みなさんこんにちは。ヨンミンと申します。私は2014年2月にアプリケーションセキュリティエンジニアでLINEに入社しました。今はApplication Securityチームをリードしています。私が担当している業務はLINEでリリースされるプログラムに対して、セキュリティテストとコンサルティングなどを担当しています。よろしくお願いします。

市原：よろしくお願いします。

現場経験者は強い

市原：質問が来ているんですけど、そっちを先に拾いましょうかね。「どのようなバックグラウンドの方がセキュリティ組織に多いですか？」という質問ですね。志勳さん、インフラをまとめてちょっと答えてもらっていいですか。

李：バックグラウンドですよね。私もそうなんですけど、最初は開発からスタートして、それからシステム的な構築をするSIerの経験とか、あるいはセキュリティ的なコンサルの経験を通じて、いろんな環境でいろんなセキュリティ的な問題を触っていた環境から転職をして、今のセキュリティ業務を担当しているメンバーが多いですね。

なので、中には例えば「SOC」というセキュリティオペレーションセンターで働いた経験をもっているメンバーもいます。基本的には、我々のLINEというサービス環境の中で発生することについて理解できるような経験を持っていることが、大事なのではないかと。

市原：現場経験ですよね。

李：そうですね。それからいろいろな問題について深く検討したり研究したり。そしてそれを問題解決できるような経験をもっていることが大事ではないかと。

市原：ここは春木さんのチームも同じだと思いますよ。問題を見つけたときに自分で動く、自分で努力してみる。もちろんチームメンバーともいろいろ話すけど、そういう「自分で」みたいなところも大事ですよね。ヨンミンさんのところも同じだと思いますが、Application Securityのメンバーのバックグラウンドはどうですか？

鄭：Application Securityチームのバックグラウンドも同じです。開発者からスタートして、得意な人はCTF（Catch The Flag：セキュリティのコンテスト）やBug Bounty Programに参加して、そこで経験を積んだ人がけっこう多いです。

市原：そうですね。だからけっこう自分の仕事だけじゃなくて、仕事以外の時間でバグのレポートをどこかの会社に送ったり、CTFに参加したりという人がけっこう多いですよね。ありがとうございます。

LINEがユニークだと思う3つのポイント

市原：では、ちょっとこのまま質問を続けていきたいと思います。「LINEのセキュリティのユニークなところ」という話をちょっと掘り下げていきたいのですが、これも志勳さんからいきましょうか。

李：ユニークなところは、3つの環境で仕事をできる機会があるということではないかと思っています。1つ目は継続的に専門性を開発できる環境。2つ目はエンジニアリング中心の文化。それから3つ目は優秀な同僚と働く機会ですね。

そのことについて、もっと細かく具体的にお話すると、1つ目の環境については、やはりLINEの環境といえば、技術的な自由度が高くて、挑戦的なプロジェクトが多い環境ですよね。なので、業務をしながら自然にいろんな技術、新しい技術について、セキュリティ的な検討もしたりするようになり、自然に専門的な知識を積むことができるような環境になっています。

それから、文化については、エンジニアリング組織、例えば我々のセキュリティ組織は、マネージャーだけではなくて役員たちもエンジニア経験をしている人が多い。

市原：そうですね。役員の人たちもエンジニア経験多いですね。

李：なので何かをするときの意思決定も結局エンジニアリング的な部分が中心になっていますすね。

市原：そうですね。

李：例えばなんですが、何かを報告したりするときにも、準備する内容や質問を受ける内容はほとんど技術的な部分なので、その意思決定の過程でも、結局技術的に検討した結果が、一番優先されるのではないかと思います。

市原：技術的なことを中心に意思決定していることが多いということですね。

李：はい。3つ目は一番重要なことではないかと思うんですが、結局優秀な同僚と一緒に仕事ができる環境なので、「もっとがんばらなきゃ」という気持ちになりますね。

最近もLINE DEVELOPER DAYというイベントがありましたが、その中で、インフラセキュリティのセッションやアプリケーションセキュリティのセッションが多く発表されていたので、それを見たら優秀なメンバーと一緒に働くことができるということがわかると思います。

市原：そうですね。実はこの間のLINE DEVELOPER DAYは、Infra Protectionのメンバーはかなり多めに発表がありましたもんね。

李：そうですね。

市原：今まではけっこうアプリケーション系が多かったんですけど、今回はけっこうインフラ系が多かったんです。

ログの自動化とエンジニアが自由に働ける環境

市原：じゃあちょっと次にいきましょうか。春木さんInfra Protectionチームとしてどうですか？

春木：そうですね。技術的な特徴というところで、僕たちはオフィスのインフラセキュリティを見ていますが、今は自動化というところにけっこう力を入れています。もともと、セキュリティのログを集めてログプラットフォームを作ったんですが、そこにある大量のログを利用して自動化の取り組みを進めました。

最近は、セキュリティソリューションもAPIを実装してきていて、その辺のAPIと連動させたり、また社内にもともとあったワークフローなどとも連動させて、オペレーションの自動化をしていくことに力を入れています。

あとは、先ほど志勳さんから話もあちましたが、エンジニアをすごく大事にする文化なので、エンジニアが自由に働ける環境をけっこう大事にしています。

市原：そうですね。

春木：自由に働ける環境のために、ブロックする代わりに、アラートをあげる対処していくような文化があるかなと。

市原：そうですね。たぶんここはすごく絶妙なバランス感覚が必要なところですよね。

春木：そうですね。

市原：エンジニアの仕事のスピードを落とさないというのも、ちゃんとある程度セキュリティのモニタリングを強化するなどして、がんばるということですよね。より工夫が必要なところですよね。ありがとうございます。

多様なプロダクトに接することができる

市原：Application Securityについては、ヨンミンさん、どうですか？

鄭：Application Securityチームは、セキュリティテストの業務を効率的に遂行するために、各種点検ツールを導入したり、自主的に作成して使用しています。

そしてセキュリティテストを、基本的な動的環境だけではなく、一緒にソースコードを見ながら、セキュリティテストを遂行しています。これによりセキュリティエンジニアは、ソースコードを見てもっと正確な結果を生み出すことができます。

そして多様で苦難の多いプロダクトに接することができることが一番の魅力だと思います。LINEはメッセンジャー、決済、eコマース、ヘルスケアなど、さまざまなプロダクトを提供しており、このようなプロダクトを経験できることが最大の特徴だと思います。

市原：そうですね。ユニークなところと言えばさまざまな種類のサービスがあることですね。みなさんが使っているLINEのメッセンジャーだけでなく、LINE Payだったり、銀行サービスは現在日本では提供していませんがタイの銀行サービスだったりIoT系のサービスもあったりしますし、AI事業のLINE CLOVAとかもありますしね。その辺は、LINEのセキュリティの仕事をしていて、ユニークなところですね。

業務上で使っている言語は日本語、韓国語、英語

市原：続いて、ちょっと時間がそんなにないんですが、言語の話をちょっと簡単にしましょうか。業務で使っている言語の話を聞いてみましょう、志勳さん。

李：はい。言語のお話ですよね。今、業務上で使っている言語は、我々のインフラセキュリティを担当しているチームのメンバーの国籍を見ると、日本はもちろん、韓国、中国、台湾、スウェーデンなどがありまして、勤務するオフィスも日本では東京や福岡、もちろん韓国とかもあります。

あとは、全体的なインフラをもっと安全にすることが仕事なので、今LINEの開発センターのグローバル拠点が10個ぐらいあり、そこで働いている人とも仕事をしていますので、基本的に私の場合は、日本語と韓国語、英語をそれぞれ違うチームに使っていますね。そういう感じになります。

市原：すみません、最初に「言語」といったときにプログラミング言語の話じゃなくてLanguageの言語ということをちゃんと言うべきでしたね。ミーティングによって、日本語、韓国語、英語をけっこう使い分けている感じですよね。

李：そうですね。もちろん共通的には日本語なんですが、集まっているメンバーの国籍とかを見てから、日本語で話をするのか韓国語、あるいは英語を使うのかを決めて進行する。

市原：そうですね。ヨンミンさんはどうですか？

ヨンミン：Application Securityチームも同じです。Application Securityチームは、日本以外にはタイと台湾、韓国にもあるので、そのメンバーと一緒に情報共有や意見を共有するときに、日本語と英語、韓国語を使っています。チーム内にもいろいろな国のメンバーがいるので、業務では日本語と英語を使っています。

市原：そうですね。Slack上にはボットもあり、勝手に翻訳してくれるので、その3ヶ国語が自由に使えます。あと、一応補足すると、ミーティングのときには同時通訳の方が社内にいるんですよ。会議を予約するときにちゃんと日本語と韓国語の通訳の方を呼んでおいて、その方と一緒にミーティングします。

なので別に私も韓国語はしゃべれませんが、日本語をしゃべると、通訳の方が翻訳して韓国のメンバーが理解できるようになっています。これは日本語と英語でももちろんできます。なので、韓国語がしゃべれないとダメとか、英語をしゃべれないとダメというケースの条件は特にないです。

言ってしまえば、英語しかしゃべれないとか韓国語しかしゃべれないけどLINEのセキュリティに入社したメンバーもけっこういますよね？

李：私も最初のところは、韓国語しかしゃべれなかったです（笑）。

市原：4年半でこれだけしゃべれるようになるのはすごいですね。でもけっこうしゃべる機会や環境があると。

李：そうですね。

市原：これは、日本人にとっての英語をしゃべる機会という意味でもそうだと思うんですね。

（後半につづく）