上場審査プロセス中に起きた「リストアタック攻撃」　緊急時に必要なのは“システム対応”と“ユーザーに寄り添うこと”

“社会的公器の壁”

春日重俊氏（以下、春日氏）：新原さんのインタビュー動画を見てもらいました。最後、具体的に僕たちが今まで突破した4つ目の壁について説明したいと思います。社会的公器の壁です。

Chatworkは2019年9月に上場しましたが、実はこの前後で大きなセキュリティイシューがありました。こちらのセキュリティイシューをどう乗り越えていったかについて、エピソードを紹介したいと思います。

“社会的公器の壁”で行った施策

まず、社会的公器の上場するといったところで、社会の公器になる必要があると思っています。そのセキュリティ対応の考え方みたいなところで。必ずしもこれが正解ではないと思いますが、NIST Flameworkのような、特定・防御・検知・対応・復旧みたいなところがありまうす。

日本のサービスは特定・防御というか、侵入されないところが非常に重要視されていたりしますが、やはりこれだけサービスがどんどん移り変わっていくところでいうと、やはり突破されない、すべてを防ぐは難しいです。そういったところの検知・対応みたいなところのレジリエンスをどう上げていくのかは、弊社も1つ注目してるポイントになっています。

例えば、今Chatworkがセキュリティに対してどういうふうにやっているかでいうと、セキュリティに対して内部的にどういうところやってかないといけないかを、1つずつイシューを管理して、PDCAを回すところをやっていたり。

あとは、Nistのフレームワークの突破された後、検知した後に、「どうやるのか」みたいなところのバグバウンティや、セキュリティの昨今のトレンドのところである、2段回認証みたいなところの機能を追加したりで、継続的にセキュリティに対する施策は打っていました。

2019年7月に受けたリストアタック攻撃と対応

ただ、そんなChatworkですが2019年7月。今でも忘れませんが、このときって日本の世の中のサービスが、いろいろなリストアタック攻撃を受けていましたが、Chatworkもかなり大規模なリストアタック攻撃を受けました。

このときはちょうど上場の審査プロセスの真っ最中でした。それによって上場が延期するかもしれないみたいな、すごくシビアなタイミングでした。

そういったときにどういうふうに乗り切ったかでいうと、1つはシステム的な対応のところで、乗っ取られた場合、なにかおかしいところがあった場合には、ユーザー自身にメール認証のコードを送付したり。あとは怪しいIPアドレスを自動的にブロックするようなところを、矢継ぎ早に弊社としては対策をしていたりします。

“社会的公器の壁”の学び

このときの学びですが、実はセキュリティイシューはシステムだけではありません。ユーザーとどういうふうに真摯にコミュニケーションするかがすごく重要だったなと思っていて。自社だけではなかなか学びがなかったので、この後に出てくるエキスパートにすごく助かったアドバイスをもらいました。

あとは、やはりこういう新しいトレンドは、いろいろなパートナーと、目線というか、意見合わせしておく必要があるなと非常に感じた出来事があります。あと、こういう緊急事態が起こったときは、ふだんの業務をストップしてでも課題解決に当たることが重要ではないかと考えています。

エキスパート清水さん・松宮さんのインタビュー

では、この当時のエキスパートである、清水さんと松宮さんからのインタビュー動画が待っているので、紹介します。

松宮寿氏（以下、松宮）：アマゾンウェブサービスジャパンで、一昨年までChatworkさんのアカウント担当していました松宮と言います。

清水崇之（以下、清水）：こんにちは。西日本の今ソリューションアーキテクトのチームのヘッドをしています、清水と言います。2014年にAWSに入社して、当時から2019年の末まで私が直接対応していました。

当時、私と松宮さん、あとはエンタープライズサポートにも入ってもらっていたので、専任のTAMの者が参加して、定例会を実施していました。いつものとおり東京タワーの横に行って、ミーティングルームに入って席に着いたら、春日さんがちょっと悲壮な顔をされていて。リスト型アタック受けているということで、どうしていいのかわからない状況だったようなので、私と松宮さん、そしてTAMの方とでちょっと詳細を聞いていった状況です。

松宮：やはり、被害に遭った企業とか担当者は、かなり気持ちに焦りがある状況だと思います。そうしたときに、やはり冷静に聞ける第三者をちゃんと持っていたほうがいいと思います。聞ける先があるというだけでも、精神的な備えになると思うので。最寄りのAWSでも社員でもいいので、聞いてもらうことをしてもらえれば、まず解決の1歩になると思います。

清水：当然、近くのAWSのSAや、アカウントマネージャーに問い合わせしてもらえれば、AWSとしてのセキュリティ対策という回答は絶対にできると思います。

とは言いつつ、やはり現場で何が起こっているかっているかは、ふだんからアカウントチーム、ソリューションアーキテクトやアカウントマネージャーと密に、仲良くなっておいてもらえると、踏み込んだアドバイスはできるんじゃないかなと思います。当時それができたのは、そういう関係性があったからじゃないかなと思います。

松宮：私は2012年ぐらいからChatworkさんとお付き合いはありますが、物事の考えを、技術でなんとか解決していく突破力はあります。ただその一方で、ビジネス的にもっと簡単に解決できることがあるんじゃないかといつも思っていて。そこはいつも春日さんにも話していましたが、無謀なチャレンジをしていくのを横目で見ていくのが、私は非常に楽しかった思い出があります。

清水：「どうしていつもそんなギリギリな技術を使っていくのだ」と。「失礼ながら、私がCTOならそんなもの使いません」みたいな。もう少し熟してからそういったソリューション、枯れた技術を使ってもいいんじゃないかと思います。

一方で、こういった若干無謀とも思えるようなチャレンジ、これが実はChatworkさんの原動力なのではないかと思い始めたことがあります。ここは本当にChatworkさんならでは、本当にすばらしいポイントだと思います。

結果的に、今このIT業界引っ張ってもらっていると思うし、ギリギリの技術を使うことで、引っ張っていくんだという強い意志を感じます。引き続きこのまま、ギリギリの技術を使いながら、枯れる前に、また新しい技術にチャレンジしてもらえればと思っています。

成熟期で考えられる壁と対応

春日：清水さん、松宮さんのインタビュー動画を見てもらいありがとうございます。最後に、これからのChatworkに、5年や10年にどういう壁が待ってるのかについて、説明したいなと思います。

いわゆる成熟期という、いわゆる本当の意味での社会の公器になっていくときには、やはり今あるアプリケーションもすごく重要かと思いますが、弊社としてはもう1段階踏み込んだかたちでサービスを刷新しないといけないフェーズに差し掛かっていと考えています。

真の社会インフラを目指してみたいなところでいうと、弊社がちょうど20212月に、IRでCAGR40パーセントで、最重要の投資フェーズだと考えていて。「これから40パーセント以上を継続的に伸ばしていくぞ」「かつ、中小企業のマーケットでトップシェア取るぞ」と掲げています。

トップシェアを取るといったところは、具体的にいうと、同時にユーザーを、約1,000万ユーザーぐらいを捌かないといけない構成になってきます。

そうなってくると、どういう規模になってくるかでいうと、いわゆるスペインのカンプ・ノウみたいな、約10万ぐらいの収容できる世界でも有数の規模のスタジアムです。いわゆる秒間10万ぐらいのリクエストを捌いていかない仕組みになってきます。

僕たちが今捌けてるのって、まだまだそこまでのフェーズの仕組みになってはいないので、どうやったらこれを支え切れるのかが、僕たちの次のステージの壁じゃないかなと思っています。

こちらを乗り切るために、弊社が今取り組んでるプロジェクトが、スペインのサグラダ・ファミリアを文字って“ガウディ”というプロジェクトをやっています。

各フェーズごとの壁と考えるべきこと

では最後に学びのまとめです。いろいろありましたが、まず1つ目のIntro、いわゆる製品内容の優位性の壁のときには、少人数でもサービスを運用できるようなところの重要性であったり、あとはサービス特性に応じたツールの投資であったり。

1つずつモニタリングを構築してくみたいなところのライフサイクルの構築が重要かと思っています。

2つ目がプロダクトステージに応じた技術投資の必要性であったり、あとは新技術のリスクコントロールのトレードオフ。あとは、難しいプロジェクトのワクワクする目標設定。コストの壁みたいなところでいうと、コスト意識を現場まで意識させるとか、採択した技術は数年単位で見直しが必要といったところと、自社の体制に合った技術を採用する、です。

最後の社会的公器の壁みたいなところでいうと、セキュリティのイシューに関しては、システムの対応だけではなく、ユーザーに寄り添う考え方が重要です。2つ目が、常日頃からいろいろな方と最新のトレンドをキャッチアップしておく必要があるというところです。

最後になりますが、緊急事態に重要なときには、ふだんの業務をストップしてでも課題解決をすることが重要かなと思っています。