「免疫」のようなセキュリティチームを作りたい
~主席エンジニアたちが向き合う情報セキュリティ対策~

技術・デザイン

情報セキュリティに関わるリスクに迅速に対応するため、当社は執行役員を含む各事業、情報システム、法務、広報、内部監査、セキュリティ推進からなる、グループ横断の「ITセキュリティ戦略室(CyberAgent CSIRT)」を組織しています。あわせて、情報セキュリティインシデントの予防及び円滑な対応を目的として、セキュリティ実務経験者による専任組織「システムセキュリティ推進グループ」を設置しています。

2021年に発足した「P-Sec Team(プロダクトセキュリティチーム)」は、プロダクトセキュリティマネジメントの強化を目的とした組織です。各管轄のセキュリティ対策に関わる責任者を設置し、重大インシデント対応の際には各プロダクトの開発担当との連携を図ります。システムセキュリティ推進グループマネージャーとして「P-Sec Team」を統括する野渡と、同チームメンバーの一員であり、子会社CAM、タップルのCTOを務める船ヶ山が、当社のセキュリティ対策について語りました。

Profile

  • 野渡 志浩
    2011年入社。主席エンジニア
    メディア事業部でのセキュリティ専任チームの立ち上げを経て、ITセキュリティ戦略室を発足。組織横断でのインシデント対応及び予防活動に取り組んだ。2015年よりシステムセキュリティ推進グループを立ち上げ、同グループマネージャーとしてグループ全体のシステムセキュリティの維持及び向上を担う。

  • 船ヶ山 慶
    2010年入社。主席エンジニア。
    様々なメディア事業やゲーム事業のバックエンド / インフラを担当した後、取締役として動画配信サービスを展開する子会社の立ち上げに参画。2018年に子会社CAMのCTO就任。ならびに2022年より子会社タップルのCTOも担う。

複雑化するセキュリティインシデントにどう向き合うか?

── 昨今、セキュリティインシデントが複雑化しています。主席エンジニアとしての観点から、サイバーエージェントではどのような方針で向き合っているか教えて下さい。

野渡:これまでは「インシデントが発生した際に、該当するプロダクトに対して、個別のセキュリティ措置を講じる」という対応をしてきました。

しかし、2021年から2022年にかけて発生した「Apache Log4jの脆弱性」や「医療機関を狙ったランサムウェア」などの事例が記憶に新しいように、セキュリティインシデントがプロダクトやサービスだけでなく、社会インフラにまで重大な影響を与えているのが現状です。

サイバーエージェントも、パーパスに「新しい未来のテレビABEMAを、いつでもどこでも繋がる社会インフラに」という言葉を掲げているように、プロダクト開発において、万全なセキュリティ対応が必須要件となっています。そのため「従来のインシデント発生を起因としたプロダクトごとの対応」だけでなく「サイバーエージェントグループの組織力を活かした予防活動」も含めて取り組むことが、より有効なセキュリティ対応に繋がります。それが「P-Sec Team」の設立にもつながる方針です。

船ヶ山:セキュリティに対する意識が「対策」から「予防」にシフトしたのも、時流を感じますね。

野渡:常々「免疫のようなセキュリティチーム」を作りたいと考えていたので、「P-Sec Team」では特に「予防」という観点を重視しています。

── 「予防」とは具体的にどんなことから始めたのですか?

野渡:「何を、何から守るのか?」が重要になります。サイバーエージェントは様々な事業を展開しているため、各事業がどんな情報を保持していて、どんなセキュリティリスクを内包しているのかを、正確に把握しておく必要があります。

例えば、注力している予防策の1つに「プロダクトデータベース」の作成があります。各管轄のセキュリティ責任者と連携し、個人情報を含めたパーソナルデータの扱いセキュリティ対応について、プロダクトごとに可視化を進めています。

船ヶ山も株式会社CAM、株式会社タップルなどの管轄を代表するセキュリティ責任者として「プロダクトデータベース」に関わっています。

船ヶ山:セキュリティの軸で、各管轄の技術ボードやプロダクトオーナーと連携できるので、プロダクト開発をする上で大きなメリットがありました。運用にあたって、ユーザーから得られるパーソナルデータは、会員情報から購買履歴や視聴履歴まで多種多様です。事業の幅が広いからこそ、情報の重要度にも濃淡があります。プロダクトのリリースや拡大が先行して、データの取り扱いにリスクがないよう、事業責任者との連携ができるのは心強いですね。

また、セキュリティ推進グループが「プロダクトデータベース」で網羅的に情報を把握しているので、インシデント発生の際の初動の速さにつながっているのも実感しています。

 

── 近年では経済ニュースでもセキュリティインシデントが報じられ、各プロダクトへの影響が年々大きくなっています。長年、様々なプロダクト開発に携わってきたサイバーエージェントのエンジニアとして、社会の変化をどう捉えていますか?

船ヶ山「EU 一般データ保護規則(General Data Protection Regulation:GDPR)」電気通信事業法改正、その他各種法整備など、この数年でユーザー保護を取り巻くフェーズが大きく変わったという実感があります。その背景にあるのは個人情報への意識の高まりです。

エンジニアとして、先んじてセキュリティ対応しなければ、後手に回ってしまうという危機意識を常に持っています。特に、新しいプロダクトを開発する際には、初期段階からセキュリティを加味したアーキテクチャを構築する必要があります。

昔であれば「開発生産性とセキュリティ対策はトレードオフ」のような側面がありましたが、昨今ではもはや必須機能であると言えます。

野渡:それは同感です。と言うのも、これまでは「リリース直前にセキュリティ診断をする」といった傾向から「開発プロジェクトを発足するのでセキュリティの観点でアドバイザーとして入ってほしい」という依頼や相談が、職種を問わず増えてきたからです。

船ヶ山:セキュリティの意識はこの数年、会社全体でさらに向上したと感じています。「運用上のミスが起こらないためにどのようなツールを活用すべきか?」といった問い合わせを、野渡たちシステムセキュリティ推進グループのエンジニアに気軽に相談するカルチャーが醸成されていると感じます。

社内にセキュリティ専門組織があるメリット

── サイバーエージェントでは社内にセキュリティ専門組織を構築し、自社で対策を行っています。そのメリットについてお聞かせください。

船ヶ山:最大のメリットは、各プロダクトのビジネス的なニーズを汲み取り、絶妙なラインでセキュリティ対策を提案し、実行してくれることです。

ともすると、セキュリティ対策という観点で、課された役割を果たすために、事業状況を加味せずに一貫して厳しいセキュリティ対策を講じるよう要望するのが一般的です。

そうではなく、むしろシステムセキュリティ推進グループに相談した方が、プロダクトにとってメリットがある状態になる。その状態を自然に作り出せるのは、社内にセキュリティ専門組織を構築している最大のメリットだと思います。

野渡:「プロダクトにとってのメリット」を特に重視していますね。「セキュリティ」はあくまで手段であって、目的は「事業の成功」です。「セキュリティを強化することで、事業にとってメリットになる」ことが事業の成功につながるよう意識しています。

我々も、事業の立ち上げや拡大を最優先で考えていて、それを前提とした「セキュリティインシデントの予防」という役割で、事業を支えていくというスタンスでいます。それが伝わるとセキュリティ対策が加速するのを実感します。そのために、相談しやすい関係性を構築するための、コミュニケーションやメッセージ発信は、日頃からチーム全体として心がけています。

船ヶ山:オリジナルキャラを使った連載マンガとか、セキュリティクイズ回答でプレゼントとか、いろいろやってますね?(笑)

※ 社内でも人気のセキュリティ啓蒙マンガ「パーくんと学ぶ情報セキュリティ」
※ 社内でも人気のセキュリティ啓蒙マンガ「パーくんと学ぶ情報セキュリティ」
※ 楽しくセキュリティ防御力判定を受けるキャンペーン
※ 楽しくセキュリティ防御力判定を受けるキャンペーン

野渡:セキュリティの啓蒙活動もセットでやっています。また、サイバーエージェントグループのテックカンファレンス「CA BASE CAMP」では、定期的にセキュリティハッカソンを開催しています。毎回多くのエンジニアが参加してくれて、ハッカソンを通じて得た技術的知見を、それぞれのプロダクト開発に持ち帰ってくれています。

※ 2019年に開催した第1回目の「セキュリティコンテスト」は、2022年に3回目を迎えた
※ 2019年に開催した第1回目の「セキュリティコンテスト」は、2022年に3回目を迎えた

野渡:各プロダクトが私たちチームと組むことのメリットを生み出すために「プラス価値を提供していこう」とチームメンバーにはよく話しています。セキュリティだけを考えるのではなく、それらを取り巻く要素も加味した上で相談を受けることで、さらなる信頼につながると考えているからです。

事業成長を加速させるセキュリティチームのツール

── プロダクトにとって、具体的にどのようなプラスの価値を提供するのですか?

船ヶ山:例えば、社内ツールで利用するIDや権限の認証・認可基盤「PERMAN」。初見でも使いやすいのが特長です。社員数も多く、各事業ドメインで裁量を持って自由に組織開発を行っているからこそ組織形態が多様なため、外部ツールを一斉に導入すると大きなコストがかかります。コスト面でも「PERMAN」は非常に優れていると思います。

野渡:「PERMAN」は船ヶ山はじめ多くのエンジニアが、プロトタイプのフェーズから改善案を提案してくれたので、チームサイバーエージェントを実感できる思い入れのあるプロジェクトになりました。

多様な事業を展開し、100以上の子会社がある当社ではエンジニアの社内異動も盛んですが、「PERMAN」があるため何ら問題なくID管理を行えるようになりました。その状況を見ていると、大きな価値がある社内ツールを開発できたと思います。

── 社内で幅広く使われる内製ツールを開発するコツを教えて下さい。

野渡:やはり開発現場の課題を汲み上げ、解決策としてツールを提供することだと思います。

例えば、クラウドセキュリティの課題に着目し、システムリソースのセキュリティリスクを可視化するモニタリングシステム「RISKEN」というプロダクトがあります。パブリッククラウドでセキュリティインシデントが発生した際、現場エンジニアから情報収集を行うと時間がかかるので、セキュリティの脅威情報を継続的に収集し、スコア化しています。

またAWSにおけるセキュリティインシデントに関わる通知を漏れなく受け取り、迅速に原因を特定するための仕組みを構築し、セキュリティインシデントの予防及び早期解決に注力しています。

船ヶ山:その点、「RISKEN」はOSSとして公開しているので、他社でも利用できる点で業界全体への貢献にもつながっていると思います。開発側から見ても、クラウドに特化する形で労力なく導入でき、当然ながらパフォーマンスにも影響せずとても助かっています。

── 課題ドリブンで開発したツールが、各事業部における類似課題に対して有効な解決策になっているのは良い事例ですね。

船ヶ山:私がCTOを務める子会社CAMで開発した、フィールドレベル暗号化(Field Level Encryption)を活用した個人情報管理システム「camplat-secure」も、一つの事例にあたります。

「camplat-secure」 の特徴は、データベースに格納されたデータ自体を暗号化する事にあります。これにより、本人確認で用いる身分証の画像など、センシティブな個人情報を安全に管理する事が可能になっています。

また、ユーザーが退会した際の自動削除機能により、オペレーションミス防止や退会対応のコスト削減にもつながります。他にも、データアクセス時のトレーシングやバイナリデータへの対応など個人情報データをトータルに保護するシステムを提供しています。

「camplat-secure」を活用する事で、エンジニアが煩雑なオペレーションや、セキュリティ対応に時間を割かれることなく、サービス開発に集中管理することが可能になるので、開発生産性にも繋がります。

データベースの暗号化ではなくデータ自体の暗号化をしている点が評価され、すでにCAMをはじめとする約10のプロダクトで導入されています。セキュリティ推進グループと連携して、今後はグループ全体に「camplat-secure」を導入したいと考えています。

野渡:サイバーエージェントグループ内の開発組織では開発効率や性能の向上を目的として、複数のプロダクトが利用可能な共通基盤を開発することがあるのですが、
最近は「camplat-secure」のようにセキュリティの向上に貢献するものが増えてきました。
今後はこうした基盤や組織内のナレッジの有効活用も「P-Sec Team」の活動の一環で取り組んでいきたいと思っています。

「免疫」のようなセキュリティチームを作りたい

── システムセキュリティ推進グループで、セキュリティエンジニアを募集しています。どのような役割のエンジニアを求めていますか?

野渡別分野でのスキルを持ちながらプラスアルファでセキュリティに興味のあるエンジニアです。将来的には専門特化したセキュリティ対策にも取り組んでいきたいと考えていますが、現状の組織ではこれまでの経験を活かした上でセキュリティ分野にチャレンジしたい方が向いていると思います。

船ヶ山:プロダクト開発の観点から見ても、扱う事業や大きさだけでなく、ここでしか出会えないインシデントや課題解決が多くあると感じます。システムセキュリティ推進グループは全社横断で幅広い領域を見ているので、情報セキュリティ全般に携わりたい方にとっては特に魅力的な環境ではないでしょうか。

野渡:チームメンバーによく話しているのは、我々は免疫のようなセキュリティチームを目指そうということです。体を守るために免疫は大切ですが、免疫が強すぎるのも逆効果だからです。これからもユーザーの皆さまにとって安心・安全なプロダクトを提供できるよう、事業成長を最優先に考えた情報セキュリティ対策を、全社一丸となって強化していきたいと考えています。

この記事をシェア

オフィシャルブログを見る

記事ランキング

目指すのは、1,000名以上の技術者のハブになること。オフライン交流イベント「reCAver」運営の想い

技術・デザイン

サイバーエージェントには、各事業領域で蓄積された技術的知見を積極的に共有し、所属組織や職種を超えた技術者同士の交流促進を目的とする様々な取り組みがあります。その1つ、全社横断の技術者向けオフライン交流イベント「reCAver(リカバー)」は、コロナ禍で激減した技術者同士のリアルな交流を促進するため、若手エンジニアの提案によってスタートした取り組みです。誰でも気軽に参加できるイベントを目指して、職種や年次に関わらず興味を持てる技術トピックを毎回選定し、これまで全6回開催してきました。

「reCAver」を提案した運営チームリーダーの上岡と、第1回開催時から運営を担う川谷、高川に、開催のきっかけや継続的に開催するためのコツを聞きました。

Page Top