「免疫」のようなセキュリティチームを作りたい
～主席エンジニアたちが向き合う情報セキュリティ対策～

── 昨今、セキュリティインシデントが複雑化しています。主席エンジニアとしての観点から、サイバーエージェントではどのような方針で向き合っているか教えて下さい。

野渡：これまでは「インシデントが発生した際に、該当するプロダクトに対して、個別のセキュリティ措置を講じる」という対応をしてきました。

しかし、2021年から2022年にかけて発生した「Apache Log4jの脆弱性」や「医療機関を狙ったランサムウェア」などの事例が記憶に新しいように、セキュリティインシデントがプロダクトやサービスだけでなく、社会インフラにまで重大な影響を与えているのが現状です。

サイバーエージェントも、パーパスに「新しい未来のテレビABEMAを、いつでもどこでも繋がる社会インフラに」という言葉を掲げているように、プロダクト開発において、万全なセキュリティ対応が必須要件となっています。そのため「従来のインシデント発生を起因としたプロダクトごとの対応」だけでなく「サイバーエージェントグループの組織力を活かした予防活動」も含めて取り組むことが、より有効なセキュリティ対応に繋がります。それが「P-Sec Team」の設立にもつながる方針です。

船ヶ山：セキュリティに対する意識が「対策」から「予防」にシフトしたのも、時流を感じますね。

野渡：常々「免疫のようなセキュリティチーム」を作りたいと考えていたので、「P-Sec Team」では特に「予防」という観点を重視しています。

── 「予防」とは具体的にどんなことから始めたのですか？

野渡：「何を、何から守るのか？」が重要になります。サイバーエージェントは様々な事業を展開しているため、各事業がどんな情報を保持していて、どんなセキュリティリスクを内包しているのかを、正確に把握しておく必要があります。

例えば、注力している予防策の1つに「プロダクトデータベース」の作成があります。各管轄のセキュリティ責任者と連携し、個人情報を含めたパーソナルデータの扱いやセキュリティ対応について、プロダクトごとに可視化を進めています。

船ヶ山も株式会社CAM、株式会社タップルなどの管轄を代表するセキュリティ責任者として「プロダクトデータベース」に関わっています。

船ヶ山：セキュリティの軸で、各管轄の技術ボードやプロダクトオーナーと連携できるので、プロダクト開発をする上で大きなメリットがありました。運用にあたって、ユーザーから得られるパーソナルデータは、会員情報から購買履歴や視聴履歴まで多種多様です。事業の幅が広いからこそ、情報の重要度にも濃淡があります。プロダクトのリリースや拡大が先行して、データの取り扱いにリスクがないよう、事業責任者との連携ができるのは心強いですね。

また、セキュリティ推進グループが「プロダクトデータベース」で網羅的に情報を把握しているので、インシデント発生の際の初動の速さにつながっているのも実感しています。

 

── サイバーエージェントでは社内にセキュリティ専門組織を構築し、自社で対策を行っています。そのメリットについてお聞かせください。

船ヶ山：最大のメリットは、各プロダクトのビジネス的なニーズを汲み取り、絶妙なラインでセキュリティ対策を提案し、実行してくれることです。

ともすると、セキュリティ対策という観点で、課された役割を果たすために、事業状況を加味せずに一貫して厳しいセキュリティ対策を講じるよう要望するのが一般的です。

そうではなく、むしろシステムセキュリティ推進グループに相談した方が、プロダクトにとってメリットがある状態になる。その状態を自然に作り出せるのは、社内にセキュリティ専門組織を構築している最大のメリットだと思います。

野渡：「プロダクトにとってのメリット」を特に重視していますね。「セキュリティ」はあくまで手段であって、目的は「事業の成功」です。「セキュリティを強化することで、事業にとってメリットになる」ことが事業の成功につながるよう意識しています。

我々も、事業の立ち上げや拡大を最優先で考えていて、それを前提とした「セキュリティインシデントの予防」という役割で、事業を支えていくというスタンスでいます。それが伝わるとセキュリティ対策が加速するのを実感します。そのために、相談しやすい関係性を構築するための、コミュニケーションやメッセージ発信は、日頃からチーム全体として心がけています。

船ヶ山：オリジナルキャラを使った連載マンガとか、セキュリティクイズ回答でプレゼントとか、いろいろやってますね？(笑)

── プロダクトにとって、具体的にどのようなプラスの価値を提供するのですか？

船ヶ山：例えば、社内ツールで利用するIDや権限の認証・認可基盤「PERMAN」。初見でも使いやすいのが特長です。社員数も多く、各事業ドメインで裁量を持って自由に組織開発を行っているからこそ組織形態が多様なため、外部ツールを一斉に導入すると大きなコストがかかります。コスト面でも「PERMAN」は非常に優れていると思います。

野渡：「PERMAN」は船ヶ山はじめ多くのエンジニアが、プロトタイプのフェーズから改善案を提案してくれたので、チームサイバーエージェントを実感できる思い入れのあるプロジェクトになりました。

多様な事業を展開し、100以上の子会社がある当社ではエンジニアの社内異動も盛んですが、「PERMAN」があるため何ら問題なくID管理を行えるようになりました。その状況を見ていると、大きな価値がある社内ツールを開発できたと思います。

── 社内で幅広く使われる内製ツールを開発するコツを教えて下さい。

野渡：やはり開発現場の課題を汲み上げ、解決策としてツールを提供することだと思います。

例えば、クラウドセキュリティの課題に着目し、システムリソースのセキュリティリスクを可視化するモニタリングシステム「RISKEN」というプロダクトがあります。パブリッククラウドでセキュリティインシデントが発生した際、現場エンジニアから情報収集を行うと時間がかかるので、セキュリティの脅威情報を継続的に収集し、スコア化しています。

またAWSにおけるセキュリティインシデントに関わる通知を漏れなく受け取り、迅速に原因を特定するための仕組みを構築し、セキュリティインシデントの予防及び早期解決に注力しています。

船ヶ山：その点、「RISKEN」はOSSとして公開しているので、他社でも利用できる点で業界全体への貢献にもつながっていると思います。開発側から見ても、クラウドに特化する形で労力なく導入でき、当然ながらパフォーマンスにも影響せずとても助かっています。

── 課題ドリブンで開発したツールが、各事業部における類似課題に対して有効な解決策になっているのは良い事例ですね。

船ヶ山：私がCTOを務める子会社CAMで開発した、フィールドレベル暗号化（Field Level Encryption）を活用した個人情報管理システム「camplat-secure」も、一つの事例にあたります。

「camplat-secure」 の特徴は、データベースに格納されたデータ自体を暗号化する事にあります。これにより、本人確認で用いる身分証の画像など、センシティブな個人情報を安全に管理する事が可能になっています。

また、ユーザーが退会した際の自動削除機能により、オペレーションミス防止や退会対応のコスト削減にもつながります。他にも、データアクセス時のトレーシングやバイナリデータへの対応など個人情報データをトータルに保護するシステムを提供しています。

「camplat-secure」を活用する事で、エンジニアが煩雑なオペレーションや、セキュリティ対応に時間を割かれることなく、サービス開発に集中管理することが可能になるので、開発生産性にも繋がります。

データベースの暗号化ではなくデータ自体の暗号化をしている点が評価され、すでにCAMをはじめとする約10のプロダクトで導入されています。セキュリティ推進グループと連携して、今後はグループ全体に「camplat-secure」を導入したいと考えています。

野渡：サイバーエージェントグループ内の開発組織では開発効率や性能の向上を目的として、複数のプロダクトが利用可能な共通基盤を開発することがあるのですが、
最近は「camplat-secure」のようにセキュリティの向上に貢献するものが増えてきました。
今後はこうした基盤や組織内のナレッジの有効活用も「P-Sec Team」の活動の一環で取り組んでいきたいと思っています。

── システムセキュリティ推進グループで、セキュリティエンジニアを募集しています。どのような役割のエンジニアを求めていますか？

野渡：別分野でのスキルを持ちながらプラスアルファでセキュリティに興味のあるエンジニアです。将来的には専門特化したセキュリティ対策にも取り組んでいきたいと考えていますが、現状の組織ではこれまでの経験を活かした上でセキュリティ分野にチャレンジしたい方が向いていると思います。

船ヶ山：プロダクト開発の観点から見ても、扱う事業や大きさだけでなく、ここでしか出会えないインシデントや課題解決が多くあると感じます。システムセキュリティ推進グループは全社横断で幅広い領域を見ているので、情報セキュリティ全般に携わりたい方にとっては特に魅力的な環境ではないでしょうか。

野渡：チームメンバーによく話しているのは、我々は免疫のようなセキュリティチームを目指そうということです。体を守るために免疫は大切ですが、免疫が強すぎるのも逆効果だからです。これからもユーザーの皆さまにとって安心・安全なプロダクトを提供できるよう、事業成長を最優先に考えた情報セキュリティ対策を、全社一丸となって強化していきたいと考えています。