AWSのベストプラクティスを適応していくために　ENECHANGEがセキュリティ対策の見直しを行ったきっかけ

EVENT

Cloud Security Day 2023 先駆者に学ぶ AWSセキュリティベストプラクティス

2023年11月22日に開催

株式会社ココナラ・川崎氏、ENECHANGE株式会社・岩本氏、株式会社BookLive・日向野氏は、それぞれの企業におけるセキュリティ対策の見直しについて話しました。全3回。

スピーカー

渡辺氏の自己紹介と、サイバーセキュリティクラウドの紹介

渡辺洋司氏（以下、渡辺）：みなさま、こんばんは。まずはSession1を始めたいと思います。まずタイトルですね。「AWSで持続可能なサービスを支える“セキュリティ”の重要性」というところで、今回参加してくださっているみなさんは、自社のサービスをAWSで運用されているみなさんです。実際にセキュリティ対策を進めてきて、いろいろな歴史を持っている方たちかと思います。

弊社でもサービスをやっていますが「じゃあ実際にどういうふうにやったらいいんだろうな」とか「みなさんはどんなふうにやっているんだろうな」みたいなところを聞けたら、みなさんにも「なるほど！」と思ってもらえるのかと思っているので、みなさんにいろいろと質問したいなと思っています。

では、さっそく私から自己紹介をしたいと思います。サイバーセキュリティクラウドの代表取締役CTOをしている、渡辺と申します。サイバーセキュリティクラウドに入ってからは「攻撃遮断くん」や「WafCharm」「Managed Rules」、あとは最近リリースした「CloudFastener」というところで、クラウドに関わるセキュリティソリューションを自社で作って提供しています。

先ほどもお話ししたとおり、自社でサービスをやっていて、自社でもセキュリティ対策をしなきゃいけないという課題は持っているので、今日は自社でも解決したい問題とかをいろいろと聞けたらいいんじゃないかなと思っています。どうぞよろしくお願いします。

では続いてみなさまの紹介を……。その前に会社紹介ですね（笑）。サイバーセキュリティクラウドは、世界有数の脅威インテリジェンスのAI技術を使って、全世界に安心安全なサイバー空間を創造するサービスを提供しています。

我々サイバーセキュリティクラウドが長く提供しているサービスが、攻撃遮断くんになります。AWSさんといろいろやっているんですが、AWS WAFの自動運用サービスのWafCharmやManaged Rulesは、ルールセットを入れてもらうだけでアプリケーションの防御ができるというものです。あとは脆弱性情報の管理ツール「SIDfm」を提供しています。

川崎氏の自己紹介と、ココナラのサービス紹介

渡辺：ではあらためて、パネリストのみなさんの自己紹介をお願いしたいと思います。

川崎雄太氏（以下、川崎）：はい、最初ですね。株式会社ココナラでHead of Informationという役割をやっている、川崎雄太と申します。よろしくお願いします。

ちょっと話が変わっちゃうんですが、2022年に「WafCharm DAY 2022」に登壇して、その時はグループマネージャーだったんですが。渡辺さんとかに登壇させてもらったおかげで1個上（の役職）に上がれたので、ここでお礼を言いたいと思います。

（会場笑）

川崎：ありがとうございます。ココナラではプロダクトインフラとSREの領域と社内情報システム、セキュリティまわりを一手に担当しています。会社のシステムの基盤まわりを一気に担当している部署に所属している者と覚えていただければと思います。

あと自己紹介がてらですが、2023年から技術広報とか、エンジニアブランディングみたいなところの立ち上げもやっています。

今はいろいろな会社のDevRelの方とかとコミュニケーションを取っているので、もし今後なにかイベントとか合同勉強会みたいなところを企画している会社さんがあったら、ぜひコラボできるとうれしいです。

ココナラのサービスの紹介をさせてください。左から、「coconala スキルマーケット」。今はCMとかによく出ているんですが、EC型のサービスマーケットプレイスを出しています。これが一番の軸ですが、あと2つプロダクトがあって。

（スライドを示して）、真ん中に（あるのが）「coconala テックエージェント」と呼ばれる、IT人材の業務委託エージェントですね。これはフリーランスと企業さんをマッチングさせるサービスです。スキルマーケットでも、ここで得たデータとかを含めて連携活用していくようなところを今はやっています。

一番右側が「coconala 法律相談」と呼ばれるもので、これはちょっと毛色が変わるんですが、弁護士とユーザーさんをマッチングさせるサービスをやっています。いろいろな法律のQAとかを無料で公開していたり、弁護士さんも確か4,000名以上、日本にいるかなりの範囲の弁護士さんに登録してもらっているサービスなので、もしこの3つのプロダクトを使う機会などがあったら、よろしくお願いしますというところを紹介させてください。簡単ですが以上です。よろしくお願いします。

渡辺：ありがとうございます。2022年も登壇してもらって、非常に楽しい話を聞かせてもらいました。川崎さんが先ほどお話しされたとおり、最近すごく登壇が多いので、メチャクチャしゃべるのがうまいんじゃないかなと思っています（笑）。

日向野氏の自己紹介と、BookLiveの紹介

渡辺：では続いてBookLiveの日向野さん、お願いします。

日向野達郎氏（以下、日向野）：あらためまして、株式会社BookLive 技術開発本部システム開発部のSREチームでマネージャーを務めています、日向野と申します。私も川崎さまにあやかってですね、もし次に登壇するような機会があったら、1個ランクを上げてお話ができることを目指してがんばりたいと思っています（笑）。

（会場笑）

日向野：冗談はそこそこにして、私は大学院修了後に新卒として株式会社BookLiveに入社しました。最初はシステム開発を担当するエンジニアとして勤務していて、その中でパフォーマンス改善とか監視というところに興味を覚えて、2017年に新設されたSREチームに異動、そのまま勤務して、2021年にSREチームのマネージャーに昇進というかたちで現在は務めています。

趣味としては、書道とかマンガ、ゲームといったインドアです。2022年11月に長男が生まれて、その長男の活動範囲がどんどん広がってきました。今は室内で遊んでいるんですが、どんどん外で遊ぶようになってくると今のままでは体力的に追いつけなくなってしまうので、体力も付けて、アウトドアでも動けるようにしていきたいなと考えています。

簡単に会社の紹介をしたいと思います。株式会社BookLiveでは4つの事業をとおして、さまざまなステークホルダーの方々に価値を提供しています。（スライドを示して）1つ目が左上のストア事業、2つ目が右上のコミック制作・出版事業、3つ目が左下のライツ事業、4つ目がコミュニティ事業。これら4つのサービスを展開しています。

私が所属しているシステム開発部では、左上のストア事業の保守・開発を担っているので、今日はこのストア事業を中心に話していきたいと思っています。

そのストア事業の一番のサービスで、会社名にもなっている「ブックライブ」という総合電子書籍書店を運営しています。ブックライブでは、「いつも心に『マンガ部屋』を」というところをコンセプトとして、人生を豊かにする本との出会いをお客さまに提供していくことを目指して活動しています。本日はよろしくお願いします。

（会場拍手）

渡辺：ありがとうございます。BookLiveさんはWafCharmのリリース当初から利用いただいているので、そのあたりも教えてもらえると楽しいなと思っています。

岩本氏の自己紹介と、ENECHANGEの紹介

渡辺：では続いてENECHANGEの岩本さん、お願いします。

岩本隆史氏（以下、岩本）：はい。ENECHANGE株式会社のVPoTの岩本と申します。私は2021年の7月に入社したので、もう2年半ぐらいになりますね。所属しているのはCTO室という部門で、そのインフラ・SREチームのマネージャーも兼任しています。

前職はアマゾンウェブサービスジャパン株式会社。当時は株式会社でしたが、そのテクニカルサポートをしていました。僕はAWSが大好きで、ユーザーとして使っているほうが性に合っていたので、転職してSaaSの企業に移ったという感じです（笑）。

IT活動の他に資格マニア活動もしていて、AWSは今のところまだ6冠なんですが、コンプリートを目指しているところです。あとはIPAですね。情報処理技術者試験も好きで、コンプリートしました。事業会社に所属した時はその事業に関する資格も取ろうと決めていて、今はエネルギーの会社に勤めているので、不器用ですが、電気工事士の資格もがんばって取りました。そんなところです。

（スライドを示して）事業は下のほうにある3つが主です。一番左にあるのがプラットフォーム事業。こちらは一般家庭や企業などで電力会社やガス会社と契約していると思うんですが、他の電力会社やガス会社に切り替えることで、もしかしたらコストが下げられるかもしれないということで、そのあたりの手伝いをしています。

真ん中はEV充電事業ですね。こちらは電気自動車の充電機を日本の津々浦々に設置していて、その充電機とシステムでいうとOCPP（Open Charge Point Protocol）というWebソケットを使ったプロトコルがあるんですが、そのあたりをつないで充電のサービスを提供している事業です。一番右にあるのは、電力会社さま向けにBtoBのサービスを提供しているような事業ですね。こちらの3本柱でやっています。本日はよろしくお願いいたします。

渡辺：ありがとうございます。IPA全冠ってすごいですね。あまり聞いたことがない（笑）。

（会場笑）

渡辺：岩本さんとは先ほども話していて、「VPoTというところで、どんなことをやっているんですか？」と聞いたら「なんでも屋です」という感じなので（笑）。いろいろな話が聞けるんじゃないかなと思っています。

セキュリティ対策の見直しを行った経緯

渡辺：まずはトピックですね。みなさんに少しずつ話をしてもらいたいなと思っています。そもそもサービスをやっている中で、実際にセキュリティ対策をやっている、ある程度やっていたことがあると思うんですが、実際にどんな背景があってセキュリティ対策の見直しや改革を行うことになったのかという話を聞きたいなと思っています。

（セキュリティ対策は）けっこう継続的にやらないといけないものでもあるんですが、どこかのタイミングで「ちょっとあらためてやろう」みたいになることって、たぶんあると思うんですよね。なので、そのあたりのお話も聞けたらと思っています。

（スライドを示して）このスライドです。まず岩本さんのところですね。お願いします。

岩本：ありがとうございます。先ほどお話ししたような背景があって、現在のENECHANGE株式会社で期待されている（僕の）役割は、AWSには1年しかいなかったんですが、そこで培った知見を活かして、そのベストプラクティスみたいなものをなるべく適用していくということだなと自分なりに解釈していたところです。

その中で気になったのは、セキュリティ系のAWSサービスがいろいろありますが、そのあたりがあまり活用ができていないというところ。あとは、これはちょっとタイミングの問題で、「GitHub」とか「CircleCI」とか、そういうところでOIDC（OpenID Connect）が使えるようになってきたという背景もありました。

あと、一番下にAWS WAFではない、別のWAFを使っているシステムがあります。あまりクリティカルな問題ではないんですが、ネットワークが若干不安定になるような問題があったりしたので、そのあたりも解決したいなと。僕としてはそのあたりの3つを感じていたところです。