2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
情シス x セキュリティ 〜 次世代インフラの共同構築(全1記事)
リンクをコピー
記事をブックマーク
須田和樹氏(以下、須田):「情報×セキュリティ 〜 次世代インフラの共同構築」というテーマで、DMMの情報システム部とセキュリティ部から発表します。まず情報システム部から、須田が話します。DMMの情報システム部は、社内インフラやWeb周りの管理、PC調達などを含めた社内ユーザーのサポートに加えて、社内利用をメインとしたシステムと開発組織も持っています。
安詮院康広氏(以下、安詮院):セキュリティ部からは、SOC/IRチームの安詮院が話します。DMMではいろいろなサービスを行っていますが、セキュリティ部ではサービス全般のセキュリティ状態のチェックや、脆弱性診断などを行っています。
また、先ほど須田からも説明があったように、PCを調達して管理しているので、それらのセキュリティの管理や監視、社内への脆弱性の発信業務などもとり行っています。
須田:本日は「情シス×セキュリティ~次世代インフラの共同構築」というテーマで、DMMの情シス部とセキュリティ部が、今後のDMMにおける社内インフラを、どのようにしていくかという話をします。
よくたとえ話として、「利便性とセキュリティというのは天秤のようだ」と言われます。情報システム部は利便性を高め、セキュリティ部はセキュリティレベルを高くすると思われるところがあります。両者は天秤のように、あっちが立てばこちらが立たないところがあるので、対極にある両部門がどのように協力して実現するかを伝えられたらと思っています。
安詮院:最初に、DMMの社内インフラの現状を情シスの須田さんから簡単に紹介します。
須田:現在のDMMの規模ですが、大小合わせて20拠点ほどあります。2,000人以上収容可能な六本木の本社オフィスのほか、500人収容できる金沢オフィス、さらに数名から50人規模の小規模拠点が複数存在しています。
安詮院:たくさんありますからね。
須田:そうなんですが、昨今のコロナ禍によって僕の部署では出社率は20パーセント以下です。
安詮院:出社してますね(笑)。
須田:今してますよね(笑)。リモートワークがメインになっていて、私も基本リモートワークでなんらかの物理対応がある時だけ出社する拠点のようになっています。だいたい週1ペースですが、安詮院さんはどれくらいですか?
安詮院:私の部はあまり出社していなくて、私も半年に1回くらいです。用がなければほとんど出社せず、リモートワークで対応しています。
須田:本当に、ほとんど来ませんよね。
安詮院:来ませんね。
須田:そんな中、僕は週1で来ています。
安詮院:いっぱい来ていますね(笑)。
須田:週1で「いっぱい」と言われてしまうと(笑)。
安詮院:そういう時代になってしまいましたね。
須田:次に、利用PCや社内システム系の状況ですが、PCはWindows、Macをおおよそ半々の割合でユーザー提供しています。基本的には社内のアプリケーションであるSaaSを利用しているものの、いくつかのWebアプリはオンプレ、つまり自社でサーバーを運用して提供しています。
このサーバー群の基本的なアクセス制御は、いわゆる送信元IPアドレス制御で、拠点のゲートウェイアドレスをもって接続可否を判定するものです。したがって、先ほど話した8割を超えるリモートワークを実現するためには、通信環境を提供する必要がありました。
2020年の3月に、今まで検証で少ししか使っておらず、数十名程度しか利用していなかったVPNゲートウェイを、急遽3,000人同時利用可能な環境で構築して、現在に至っています。
ほかの各WebアプリケーションのIP管理にも課題がありました。3年前までは、ほぼすべてのアプリケーションで個別にIDを持ってもらい、入社ガイダンスでは提供しているアプリの数だけログインの仕方を説明するような状況でした。当然、入社時のアプリケーションが煩雑化するだけではなく、従業員の生産性にも影響を及ぼしていました。
安詮院:せっかくDMMに入社したのに、IDがいっぱいあって大変な状況が続いていたんですよね。
須田:このアプリケーションに入る時はこれ、このアプリはこれという感じでやっていましたから、入社時にはIDがいくつあったのかわかりません……。このような旧態依然の環境ではありましたが、リモートワークが当たり前になっていく今後において、より使いやすく安全を両立した環境へ変化していくべきだと考えていました。
須田:基本的な目指すべき姿としては、昨今有名なキーワードが“ゼロトラスト”です。ゼロトラストの考え方を踏襲し、情報システム部とセキュリティ部で新たな社内環境の構築を始めています。提唱されている姿にたどり着くには、乗り越えるべき課題が複数存在していますが、本日は直近で検討している方向性を紹介しようと考えています。
安詮院:まずは、IP制限からどう脱却していくのかを簡単に説明したいと思います。非常に簡単で、クラウドプロキシの製品を導入して解決を図ろうとしています。今、情報システム部とセキュリティ部が、一緒にPoCによって製品の評価をしているところです。どちらの機能も本当に必要なので、共同で行っています
クラウドプロキシにアクセス許可を与えることでVPNが不要になると思うので、VPNよりも早く便利に安全に活用できるようになるのではないかと思い、今検証などを進めています。このように、VPNからの脱却に進んでいる状況です。
須田:そのクラウドプロキシを実現させる上で欠かせないのが、なんといっても認証周りです。認証周りの統合を考えたものの、以前はすべてのアプリケーションが独自のIDを持っていたので、管理面においてもユーザーの利便性においても非常にネガティブな状況でした。
これに関しては、ここ2年ほどAzure ADをIdPとした認証を進め、現在主要なサービスの大半でIDを統合できました。非常に苦労したところもありましたが、また機会があれば伝えたいと考えています。
安詮院:大変でしたか?
須田:本当にそうですよ(笑)。このセキュリティを向上させるために、ログインの多要素認証を導入したいと考えていまして、具体的には基本的なWebアプリケーションの認証はAzure ADと連携したMicrosoft Authenticatorを使って、プッシュ通知による承認を行うようにできればと考えています。
安詮院:携帯で行うものですね。
須田:そうです。こちらにアクセスしたい人は携帯のほうに通知が送られてきて、間違いないです、とやる。よりセキュアなリソースへのアクセスというか、デバイスの認証もIntuneを使って実現していければと考えています。これら施策を経て、ゼロトラストに向けて着々と環境を整備していかなければと考えています。
安詮院:この2つの施策にも絡んでいますが、結局これらをどう安全に、便利に使っているかです。時代が変わってゼロトラストになり、セキュリティ対策も変わってきています。DMMでも、今までのようにVPNやファイアウォールの出入口を監視するものではなく、ユーザーの認証ベースを監視していこうと思います。
先ほどもありましたが、Azure ADを使って、アカウントがどれくらいログインされているか、変な場所からログインされていないといったAzure ADのユーザーの動向から、監視対策(セキュリティ対策)を打ち出していこうと思っています。これも一緒に作っていければと思います。
須田:ぜひ、よろしくお願いします。
安詮院:DMMでは、今でもこれ以外にいろいろな施策をしていますが、私たちがどのように協力しているかを話そうと思います。簡単に言うと、きちんと話して、次にやることはお互いに納得してやろうということです。
須田:今までも、例えば情シス部とセキュリティ部の担当者間で、案件ベースで話すことはありました。その時も、特に仲が悪いわけではなく一緒にやっていましたが、やはり担当者間同士なので、全体的に見ると「ちょっと、何やってた?」みたいなこともありましたよね。
須田:そうですね。やはり半分しか見えていないというか、まだ全体的に課題感の本質的なところまでは見えていないと感じました。
安詮院:それが、リモートワークも1年くらい経って環境にも慣れて、お互いのプレゼンもよくなってきました。そのおかげで、お互いにプレゼンで課題感やどんなことをしているのかを、きちんと発表できるようになりました。今は環境にも慣れてきたので、そのようなことに本腰を入れて取り組んでいます。
須田:最近は、相互の課題感を両部門の多くの人間にぶつけられていますよね。
安詮院:そうですね。ぶっちゃけで話したり(笑)。
須田:特に情シス部門はセキュリティ的に大丈夫なのかなと思いつつ、PCやアカウント管理、ネットワーク構築を、日々運用として続けてしまっているところが少なからずあります。セキュリティの知見を持ったメンバーの中にモヤモヤをぶつける場ができたのは、非常にありがたいと思っています。
安詮院:実際はセキュリティ部門も同じで、結局セキュリティのことだけ考えていても現場が回らない。実務と少しずれているようなことがあって、お互いのタスクを理解してやっていけるようになってきたと思っています。実際にどんなことやっているかを少し紹介します。
須田:情シスからのプレゼンを1つ紹介すると、どうしてもユーザーのステータスは変わります。例えば休職や退職や異動など、何らかのステータスが変わるたびにPCの扱いやカウンターの扱いについては、さっきも言ったとおり運用としては回していけますが、情シスだけではセキュリティ的な確信が持てない。
一部答えながら運用しているような状況でした。それが、それぞれの属性を分類した上で運用方法を確立していけるようになり、確信を持った運用に変化できたのではないかと感じています。
安詮院:セキュリティ部では、PCの運用上のセキュリティはアンチウイルスなどを入れてセキュリティ部が管理していますが、実際にPCを管理しているのは情報システムなのでフローのつなぎが少しあいまいなところがありました。そのようなフローをうまくやって、「私たちはここまでやるので情シスさんはここまでお願いします」と、しっかり話し合ってできたのがいい。最近はよくできていると思います。
須田:そうですね。
安詮院:今は、日々いろいろと話し合って、お互いの嫌なところもきちんと理解し合って、協力体制が作れていると思っています。ほかにいくつか話せることもありますが、今日は締めようと思います。
DMMは情シス部・セキュリティ部ともに一緒に働ける人を募集しているので、もしよければ応募してください。また、私たちは勉強会などにも積極的に参加しています。機会があれば発表しますので、よろしくお願いします。
須田:よろしくお願いします。
安詮院:本日はありがとうございました。
須田:ありがとうございました。
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05