対極にある利便性とセキュリティの両方をどう実現するか？　社内インフラ構築に必要な情シスとセキュリティ部の部署連携

EVENT

DMM meetup #31 〜DMMのインフラを支えるITインフラ本部の取り組み紹介〜

2021年07月27日に開催

DMM. comのITインフラ本部が今期に注力している取り組みについて、事例を紹介しつつ話す「DMM meetup #31 ～DMMのインフラを支えるITインフラ本部の取り組み紹介～」。ここで情報システム部の須田氏と、セキュリティ部の安詮院氏が登壇。DMMが目指す今後の社内インフラ構築のための取り組みと、部署間での連携について紹介します。

スピーカー

須田和樹

合同会社DMM.com 情報システム部社内システムグループ所属

安詮院康広

合同会社DMM.com セキュリティ部 SOC/IRチーム所属

自己紹介と発表概要

須田和樹氏（以下、須田）：「情報×セキュリティ〜次世代インフラの共同構築」というテーマで、DMMの情報システム部とセキュリティ部から発表します。まず情報システム部から、須田が話します。DMMの情報システム部は、社内インフラやWeb周りの管理、PC調達などを含めた社内ユーザーのサポートに加えて、社内利用をメインとしたシステムと開発組織も持っています。

安詮院康広氏（以下、安詮院）：セキュリティ部からは、SOC/IRチームの安詮院が話します。DMMではいろいろなサービスを行っていますが、セキュリティ部ではサービス全般のセキュリティ状態のチェックや、脆弱性診断などを行っています。

また、先ほど須田からも説明があったように、PCを調達して管理しているので、それらのセキュリティの管理や監視、社内への脆弱性の発信業務などもとり行っています。

須田：本日は「情シス×セキュリティ～次世代インフラの共同構築」というテーマで、DMMの情シス部とセキュリティ部が、今後のDMMにおける社内インフラを、どのようにしていくかという話をします。

よくたとえ話として、「利便性とセキュリティというのは天秤のようだ」と言われます。情報システム部は利便性を高め、セキュリティ部はセキュリティレベルを高くすると思われるところがあります。両者は天秤のように、あっちが立てばこちらが立たないところがあるので、対極にある両部門がどのように協力して実現するかを伝えられたらと思っています。

DMMの社内インフラの現状

安詮院：最初に、DMMの社内インフラの現状を情シスの須田さんから簡単に紹介します。

須田：現在のDMMの規模ですが、大小合わせて20拠点ほどあります。2,000人以上収容可能な六本木の本社オフィスのほか、500人収容できる金沢オフィス、さらに数名から50人規模の小規模拠点が複数存在しています。

安詮院：たくさんありますからね。

須田：そうなんですが、昨今のコロナ禍によって僕の部署では出社率は20パーセント以下です。

安詮院：出社してますね（笑）。

須田：今してますよね（笑）。リモートワークがメインになっていて、私も基本リモートワークでなんらかの物理対応がある時だけ出社する拠点のようになっています。だいたい週1ペースですが、安詮院さんはどれくらいですか？

安詮院：私の部はあまり出社していなくて、私も半年に1回くらいです。用がなければほとんど出社せず、リモートワークで対応しています。

須田：本当に、ほとんど来ませんよね。

安詮院：来ませんね。

須田：そんな中、僕は週1で来ています。

安詮院：いっぱい来ていますね（笑）。

須田：週1で「いっぱい」と言われてしまうと（笑）。

安詮院：そういう時代になってしまいましたね。

須田：次に、利用PCや社内システム系の状況ですが、PCはWindows、Macをおおよそ半々の割合でユーザー提供しています。基本的には社内のアプリケーションであるSaaSを利用しているものの、いくつかのWebアプリはオンプレ、つまり自社でサーバーを運用して提供しています。

このサーバー群の基本的なアクセス制御は、いわゆる送信元IPアドレス制御で、拠点のゲートウェイアドレスをもって接続可否を判定するものです。したがって、先ほど話した8割を超えるリモートワークを実現するためには、通信環境を提供する必要がありました。

2020年の3月に、今まで検証で少ししか使っておらず、数十名程度しか利用していなかったVPNゲートウェイを、急遽3,000人同時利用可能な環境で構築して、現在に至っています。

ほかの各WebアプリケーションのIP管理にも課題がありました。3年前までは、ほぼすべてのアプリケーションで個別にIDを持ってもらい、入社ガイダンスでは提供しているアプリの数だけログインの仕方を説明するような状況でした。当然、入社時のアプリケーションが煩雑化するだけではなく、従業員の生産性にも影響を及ぼしていました。

安詮院：せっかくDMMに入社したのに、IDがいっぱいあって大変な状況が続いていたんですよね。

須田：このアプリケーションに入る時はこれ、このアプリはこれという感じでやっていましたから、入社時にはIDがいくつあったのかわかりません……。このような旧態依然の環境ではありましたが、リモートワークが当たり前になっていく今後において、より使いやすく安全を両立した環境へ変化していくべきだと考えていました。

DMMが目指すのは“ゼロトラスト”

須田：基本的な目指すべき姿としては、昨今有名なキーワードが“ゼロトラスト”です。ゼロトラストの考え方を踏襲し、情報システム部とセキュリティ部で新たな社内環境の構築を始めています。提唱されている姿にたどり着くには、乗り越えるべき課題が複数存在していますが、本日は直近で検討している方向性を紹介しようと考えています。

安詮院：まずは、IP制限からどう脱却していくのかを簡単に説明したいと思います。非常に簡単で、クラウドプロキシの製品を導入して解決を図ろうとしています。今、情報システム部とセキュリティ部が、一緒にPoCによって製品の評価をしているところです。どちらの機能も本当に必要なので、共同で行っています

クラウドプロキシにアクセス許可を与えることでVPNが不要になると思うので、VPNよりも早く便利に安全に活用できるようになるのではないかと思い、今検証などを進めています。このように、VPNからの脱却に進んでいる状況です。

須田：そのクラウドプロキシを実現させる上で欠かせないのが、なんといっても認証周りです。認証周りの統合を考えたものの、以前はすべてのアプリケーションが独自のIDを持っていたので、管理面においてもユーザーの利便性においても非常にネガティブな状況でした。

これに関しては、ここ2年ほどAzure ADをIdPとした認証を進め、現在主要なサービスの大半でIDを統合できました。非常に苦労したところもありましたが、また機会があれば伝えたいと考えています。

安詮院：大変でしたか？

須田：本当にそうですよ（笑）。このセキュリティを向上させるために、ログインの多要素認証を導入したいと考えていまして、具体的には基本的なWebアプリケーションの認証はAzure ADと連携したMicrosoft Authenticatorを使って、プッシュ通知による承認を行うようにできればと考えています。

安詮院：携帯で行うものですね。

須田：そうです。こちらにアクセスしたい人は携帯のほうに通知が送られてきて、間違いないです、とやる。よりセキュアなリソースへのアクセスというか、デバイスの認証もIntuneを使って実現していければと考えています。これら施策を経て、ゼロトラストに向けて着々と環境を整備していかなければと考えています。

安詮院：この2つの施策にも絡んでいますが、結局これらをどう安全に、便利に使っているかです。時代が変わってゼロトラストになり、セキュリティ対策も変わってきています。DMMでも、今までのようにVPNやファイアウォールの出入口を監視するものではなく、ユーザーの認証ベースを監視していこうと思います。

先ほどもありましたが、Azure ADを使って、アカウントがどれくらいログインされているか、変な場所からログインされていないといったAzure ADのユーザーの動向から、監視対策（セキュリティ対策）を打ち出していこうと思っています。これも一緒に作っていければと思います。

須田：ぜひ、よろしくお願いします。

情報システム部とセキュリティ部の連携

安詮院：DMMでは、今でもこれ以外にいろいろな施策をしていますが、私たちがどのように協力しているかを話そうと思います。簡単に言うと、きちんと話して、次にやることはお互いに納得してやろうということです。

須田：今までも、例えば情シス部とセキュリティ部の担当者間で、案件ベースで話すことはありました。その時も、特に仲が悪いわけではなく一緒にやっていましたが、やはり担当者間同士なので、全体的に見ると「ちょっと、何やってた？」みたいなこともありましたよね。

須田：そうですね。やはり半分しか見えていないというか、まだ全体的に課題感の本質的なところまでは見えていないと感じました。

安詮院：それが、リモートワークも1年くらい経って環境にも慣れて、お互いのプレゼンもよくなってきました。そのおかげで、お互いにプレゼンで課題感やどんなことをしているのかを、きちんと発表できるようになりました。今は環境にも慣れてきたので、そのようなことに本腰を入れて取り組んでいます。

須田：最近は、相互の課題感を両部門の多くの人間にぶつけられていますよね。

安詮院：そうですね。ぶっちゃけで話したり（笑）。

須田：特に情シス部門はセキュリティ的に大丈夫なのかなと思いつつ、PCやアカウント管理、ネットワーク構築を、日々運用として続けてしまっているところが少なからずあります。セキュリティの知見を持ったメンバーの中にモヤモヤをぶつける場ができたのは、非常にありがたいと思っています。

安詮院：実際はセキュリティ部門も同じで、結局セキュリティのことだけ考えていても現場が回らない。実務と少しずれているようなことがあって、お互いのタスクを理解してやっていけるようになってきたと思っています。実際にどんなことやっているかを少し紹介します。

須田：情シスからのプレゼンを1つ紹介すると、どうしてもユーザーのステータスは変わります。例えば休職や退職や異動など、何らかのステータスが変わるたびにPCの扱いやカウンターの扱いについては、さっきも言ったとおり運用としては回していけますが、情シスだけではセキュリティ的な確信が持てない。

一部答えながら運用しているような状況でした。それが、それぞれの属性を分類した上で運用方法を確立していけるようになり、確信を持った運用に変化できたのではないかと感じています。

安詮院：セキュリティ部では、PCの運用上のセキュリティはアンチウイルスなどを入れてセキュリティ部が管理していますが、実際にPCを管理しているのは情報システムなのでフローのつなぎが少しあいまいなところがありました。そのようなフローをうまくやって、「私たちはここまでやるので情シスさんはここまでお願いします」と、しっかり話し合ってできたのがいい。最近はよくできていると思います。

須田：そうですね。

安詮院：今は、日々いろいろと話し合って、お互いの嫌なところもきちんと理解し合って、協力体制が作れていると思っています。ほかにいくつか話せることもありますが、今日は締めようと思います。