「10年以上蒔いた種が、ようやく花を咲かせてきた」主席エンジニアが語る、セキュリティ対策のあるべき姿

── 主席エンジニアに選出された際、率直にどのように感じましたか？

セキュリティという、決して成果が分かりやすいとは言えない技術領域を担当しているので、最初に聞いた時は正直驚きました。ただ、10年以上我々チームがセキュリティ対策に向き合ってきた歩みを、主席エンジニア就任という形で改めて評価してもらえたこと、そして技術におけるセキュリティの重要性を経営メッセージとして伝えてくれたことが嬉しかったです。

また、何よりも嬉しかったのは、私が統括するシステムセキュリティ推進グループの他、SRE (Site Reliability Engineering)チームのメンバーなど、日頃から事業成功のために同じ志を持ち、各プロダクトを支える仲間たちが喜んでくれたことでした。

── キャリアにおいて一貫してセキュリティ領域に携わっているとのことですが、セキュリティエンジニアを志すきっかけは何だったのでしょうか？

新卒当時はインフラエンジニアとして働いていました。ネットワーク関連の業務を担当する中で、セキュリティ領域に携わることが増えてきたのですが、特化しようと思ったきっかけは、2000年頃自己研鑽も兼ねて個人的に運用していたホームページが不正アクセスの被害を受け、改ざんされたことです。当時のシステムは現在ほど高度なものではなかったとはいえ、自分なりに対策を講じていたにも関わらず被害に遭い、悔しい思いでした。ただ、不正アクセスされた技術的な経緯を調べていくうちに、対策に漏れがあったことが身に染みて分かったのです。不謹慎に聞こえてしまうかもしれませんが、個人的に運用していたシステムだったこともあり、まるでパズルを解くような感覚で技術的に興味深い経験でした。そこでセキュリティ対策の奥深さに強く興味を持ち、新卒3年目で当時所属していた会社でセキュリティコンサルティングに特化したチームに参画しました。

そこからセキュリティエンジニアとしてのキャリアを歩み始め、前職のEC事業を運営する企業にて、当時としては先進的だったセキュリティ専門組織での経験を積みました。その後、幅広く事業を展開しているサイバーエージェントがセキュリティ領域の経験のあるエンジニアを募集していることを知りました。多様な事業がある当社であれば、様々なセキュリティ対策を検討する機会があるのではと考えたこと、また当時スマホシフトの戦略を強力に推し進めていたこともあって、サイバーエージェントに入社したのが2011年のことです。

── これまでのキャリアを振り返って、ターニングポイントとなった出来事があれば教えてください。

元々「Ameba」のインフラチーム内でセキュリティ専門組織を立ち上げたのですが、2014年ごろ全社の横断組織としてITセキュリティ戦略室を発足し、そのスコープを全社に広げたことです。

メディア事業だけでなく、広告事業やゲーム事業におけるセキュリティ対策についても同じ水準で向き合いたいという思いから、経営層に提案し体制を構築しました。この10年、チーム一丸となってグループ全体のセキュリティ対策に向き合ってきたことで、利用しているソフトウェアに関わる脆弱性対応やリリース前のセキュリティ診断といった技術的な相談に加えて、最近ではプロジェクト発足時にセキュリティ担当として参加して欲しいといった依頼や、組織内にセキュリティを担当する組織を新設したいという相談など、事業や職種を問わず様々な問い合わせが増えてきました。
10年以上蒔いた種が、近年続々と花を咲かせてきたと感じています。
 

── 10年以上、当社グループ全体の様々なセキュリティインシデントに対応してきましたが、インシデントの傾向に変化はありますか？

攻撃や不正アクセスのトレンドは常に変化していると考えています。数年前のインシデントでは、各プロダクト固有の脆弱性に起因した、局所的なものが多い傾向にありました。ただ、近年のシステムはクラウドベースで、外部のSaaS(Software as a Service)と連携して使うためシステム上の共通点が多く、何らかのインシデントが発生すると複数のプロダクトで同時に影響が起こることが増えました。

そのため、多くのエンジニアが関わることになり、インシデント対応における施策や取り組み自体が大規模になったと感じます。その傾向を踏まえ、2021年には、プロダクトセキュリティマネジメントの強化を目的とした横断組織「P-Sec Team（プロダクトセキュリティチーム）」の運用を開始しました。各事業部のセキュリティ対策に関わる責任者を設置し、重大インシデント対応の際には各プロダクトの開発担当との連携を図る枠組みです。

以前よりP-Secのような体制を検討してはいたものの、サイバーエージェントでは各プロダクトにおける自由な技術選定など裁量権を重視しているため、共通のルールを設けることによる生産性や企業文化、エンジニアの価値観との乖離を考慮して検討を重ねるにとどめていました。ただ、昨今のセキュリティインシデントの複雑化と対応の大規模化を鑑みて、専務執行役員 技術担当である長瀬を中心としたP-Secを発足させました。P-Sec発足により、従来のインシデント発生を起因としたプロダクトごとの対応だけでなく、サイバーエージェントグループの組織力を活かした予防活動にも取り組めていると感じます。

── サイバーエージェントではドメインや規模、フェーズの異なる様々なプロダクトを展開しています。幅広い事業のセキュリティ対策を行う上で、システムセキュリティ推進グループはどのようなメンバーで構成されているのでしょうか？

我々の方針として、セキュリティ以外の何らかの分野ですでに一人前としての経験を積んでいるエンジニアでチームを構成しています。例えば私はインフラエンジニアとして、他メンバーはプロダクト開発やSREとしての十分な経験があります。セキュリティはあくまで手段であって目的は事業の成功です。そのため、様々なプロダクトに対しどのようなセキュリティ対策を実装していくのか柔軟な対応を担えるのは、セキュリティの専門家よりも他領域の経験も豊富なエンジニアだと個人的には考えています。

── 最後に、システムセキュリティ推進グループの理念を教えてください。

経済的な合理性を保つことです。セキュリティが向上すると利便性が損なわれる、とまるで自然の摂理のように語られることがありますが、我々が目指しているのはセキュリティと利便性の両立です。現実は難しく、なかなか思い通りにならないこともありますが、常にその意識を忘れないでおこうとチームメンバーにはよく話しています。

また、何らかのセキュリティ施策を検討していて悩んだ時には、セキュリティ対策の合理性や有効性と同時に、損なわれるものが何か考えるようにしています。ユーザーの利益は絶対に守りながらも、セキュリティは手段であり、ゴールは各事業の成功であることを忘れずに、これからも当社ならではのセキュリティ対策を強化していきます。