2024.10.10
将来は卵1パックの価格が2倍に? 多くの日本人が知らない世界の新潮流、「動物福祉」とは
リンクをコピー
記事をブックマーク
熊野多聞氏:「Co3で支えるペパボのセキュリティ対策」をお話しします。サブタイトルは3つの要素があり、所属メンバーがそれぞれの要素について、リレー形式でお話しします。どうぞよろしくお願いします。
では本日のアジェンダです。
セキュリティ対策室のミッションは、以下のとおりです。情報セキュリティ基本方針とは、いわゆるセキュリティポリシーのことです。この中でアンダーラインと太字で示した「文化形成、技術的仕組みをリードする」がGMOペパボ株式会社のカルチャーを表したセキュリティ対策だと思っています。
どのようなメンバーで構成されているかですが、2021年2月現在(※取材当時)、CTO、CISOで取締役の栗林が管掌しています。その下にマネージャーとして私がいて、エンジニアの伊藤、森田と、基本的には3名で活動しています。技術士の力武先生(@jj1bdx)には、技術顧問として参画してもらっています。
軽く自己紹介をします。熊野と申します。2007年にインフラエンジニアとして入社して、各サービスのインフラを担当していました。当時はまだオンプレミスサーバーで運用していたため、データセンターでのキッティングやサーバー構築、運用や保守が主な業務でした。
そして2015年ですね。OpenStackを用いたプライベートクラウド基盤へ移行するときにマネジメント職へ転向しました。2018年からは、現在所属するセキュリティ対策室でマネジメントの推進などをやっています。
ではセキュリティ対策をやり遂げる組織についてお話しします。やり遂げる組織は「Completely」とも非常に関係が深いので、そこについてお話をします。Co3(セキュリティ対策室の方針、Communication ・Completeness ・Continuous)の1つである「Completely」ですが、「対策を完了させること」と定義しています。対策とは、脆弱性の修正を完了させたり、インシデントを収束させたりすることです。
セキュリティの対応はいろいろありますが、例えばインベントリ管理をするために「〇〇のサービスを出してください」と言ったときに、「ここは出てないね」となると、そこに穴があるかどうかもわかりません。そういったことにならないように、一つひとつの施策を完了させることが1つの大きな目的です。
次にセキュリティ対策を実施する会社の全体像を説明したいと思います。GMOペパボには複数のサービスがあり、それぞれのサービスに数名ずつ開発者が所属しています。そのほかにはあきちゃん(菅原千晶氏)から発表があったSREチームや、インフラエンジニアのチームがあって、協業してサービスを作って運用しています。サービスとして一番長い「ロリポップ!」は2001年にリリースしているので、2021年で20年目になります。
一番新しいサービスは「カラーミーリピート」でこれは2018年にリリースしています。
サービス設計時のセキュリティ対策は年月とともに当然変化します。これは長く続くサービスであれば、より顕著に表れます。「変化」とは、運用が長いことで改善が少しずつ行われて、頑健性のあるサービスになることもありますし、反対に陳腐化してしまってメンテナンスが難しくなることもあると思います。
一方で、新しいサービスには新しい技術がどんどん導入されるので、まだ発見されていないセキュリティホールへの不安があり、セキュリティーホールが発見された場合には早急な対応が必要となります。サービス開発時期によっては、技術スタックの選択の幅が広くあります。例えば開発言語や、フレームワーク、OSのディストリビューション、ミドルウェアなどは、サービスの数と続いている年数に比例してどんどんと幅が広くなります。
GMOペパボには、10年以上続くサービスからリリースして数年のサービスまで、規模や関わる人々の数などさまざまなものがあることを理解してもらえたかと思います。
これはセキュリティ対策室設置前の対策をどのように行っていたかというのを表している図です。それぞれの事業部門の開発メンバーが、セキュリティ対策と開発を同時に行っていました。セキュリティの専任のメンバーがどこかにいるのかというと、この図ではどこにも存在していません。
セキュリティはアプリケーションだけではなく、エンドポイント端末や、インフラレイヤーなどでも実施しますが、以前はこの図の通り横断する組織で実施していました。
セキュリティ対策室発足後はどのように変わったかというと、この赤線のとおり横断して見られるようになりました。ただし、セキュリティ対策を実施するメンバーに大きな変更はありません。それでもなぜ横断した組織が必要かというと、事業部ごとに判断を行っていたセキュリティ対策に、共通した判断基準や支援をして、このデコボコだったセキュリティの強度を均一にするためです。
一番低いところから漏れていくので、それを合わせましょうと横断的な組織が作られています。
次にGMOペパボのセキュリティ対策の年表です。インフラチームがOSを見て、ミドルウェアを設置するという対策がありましたが、2018年にターニングポイントとなるセキュリティインシデントが発生しました。
これを機に変わっていくわけですが、ハートブリードのような大きな脆弱性があった場合、共通の対策をすることもあります。ただし、基本的には事業部ごとで行っていました。2018年のターニングポイントがなければ、もしかしたら各サービスで、それぞれ対応するのがもう数年続いていたかもしれません。もしくは、今も続いていたかもしれません。
ターニングポイント後に、我々がどのように変わってきたかという、約3年の足跡です。2018年の1月にインシデントが発生して、同様の事象が他サービスで起こらないように統制を取る組織が必要となり、3月に組織を発足しました。同年12月にインシデント再発防止策の作成が完了し、第三者委員会の確認をもって2019年2月に実施完了のお知らせを出しています。
ここでいったん、インシデントの対応は終わるんですが、そこから継続してサービスをやっていくためには、脆弱性のような一過性の対策だけではなく、継続して行うべき新しい活動指標が必要になるだろうということになりました。その1つがインシデントハンドリング手法の標準化です。情報セキュリティインシデントは、初動の遅れにより影響が拡大する傾向があるので、インシデントの発見やインシデントハンドリングの重要性は高いです。
今お話ししたインシデントハンドリングのパートについては、次の伊藤(伊藤洋也氏)から発表します。
今までのセキュリティの工程は、リリース前のチェックやリリース後の運用の中で見つけるのが主だったのですが、インシデントがそもそも起こらないようにするために、前工程に持ってくるシフトレフトを採用しました。2020年には、シフトレフトが掲げられて、DevSecOpsを活動の中心にしましょうとなりました。
DevSecOpsとは何かを我々の解釈で説明したいと思います。真ん中の白い六角形があります。これはDevOpsのモデルの1つです。違う表現をしている図も多々あるかと思いますが、いろいろな要素を削って我々の解釈のDevOpsとご理解ください。
それを取り巻く緑の六角形がセキュリティコンポーネントです。例えば、一番上の白い六角形に「Code」がありますが、これはそのままコードを書くという意味です。この「コードを書く」には3つのセキュリティコンポーネントが紐づいています。マッピングをすることで、「だから必要ですよね」と各サービス開発者との相互理解を深めています。
マッピングの次には、それを実現するツールが必要になります。ベンダーが提供するツールを使ったり、OSSを活用したりすると思いますが、我々セキュリティ対策室のおもしろみの1つとして、自社でツールを開発するところがあるかと思います。ツールの紹介は、ここでは割愛します。
ツールを作って、環境を用意しただけだとまだ不十分で、漏れることがあります。「ツールを提供したからやれるよね」では終わりにせず、「それらを活用しているよね」というところまで持っていくのが、我々の「Completely」=「完了する」です。
次にセキュリティ対策組織をマネジメント視点から見た発見と課題です。攻撃やセキュリティ事故の危険には常にさらされていると思ってください。対策が弱いところから発露します。1つのサービスが頑健であっても、情報セキュリティインシデントが発生すると会社全体に影響が出ます。セキュリティに関わるエンジニアだけでなく、主要部門のエンジニアが寄り添って弱いところをお互いに認識して対策を理解することが必要です。
対策を押し付けるのではなく、実行するために必要なことを一緒に考えるのが先ほどのDevSecOpsのマッピングに紐づいています。発見者のミスで引き起こされたインシデントであっても、その発見と報告に感謝することで隠ぺい体質にならない文化形成をすることが必要だと感じています。インシデントは小さなことから大きな問題に発展するため、業務の手を止めて確認することが必要ですが、そこには経営メンバーを含む全従業員の理解が必要です。
サブタイトルのCo3は、「協力してやり遂げる」「継続的に行う」を表す言葉で、セキュリティ対策室メンバーの行動指針となっています。セキュリティマネジメントの体制や考え方についてはそれらの実践、基礎を構築している伊藤さんにバトンタッチをしたいと思います。
(次回へつづく)
2024.11.13
週3日働いて年収2,000万稼ぐ元印刷屋のおじさん 好きなことだけして楽に稼ぐ3つのパターン
2024.11.11
自分の「本質的な才能」が見つかる一番簡単な質問 他者から「すごい」と思われても意外と気づかないのが才能
2024.11.13
“退職者が出た時の会社の対応”を従業員は見ている 離職防止策の前に見つめ直したい、部下との向き合い方
2024.11.12
自分の人生にプラスに働く「イライラ」は才能 自分の強みや才能につながる“良いイライラ”を見分けるポイント
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.11.11
気づいたら借金、倒産して身ぐるみを剥がされる経営者 起業に「立派な動機」を求められる恐ろしさ
2024.11.11
「退職代行」を使われた管理職の本音と葛藤 メディアで話題、利用者が右肩上がり…企業が置かれている現状とは
2024.11.18
20名の会社でGoogleの採用を真似するのはもったいない 人手不足の時代における「脱能力主義」のヒント
2024.11.12
先週まで元気だったのに、突然辞める「びっくり退職」 退職代行サービスの影響も?上司と部下の“すれ違い”が起きる原因
2024.11.14
よってたかってハイリスクのビジネスモデルに仕立て上げるステークホルダー 「社会的理由」が求められる時代の起業戦略