「10年以上蒔いた種が、ようやく花を咲かせてきた」主席エンジニアが語る、セキュリティ対策のあるべき姿

技術・デザイン

2022年より導入した「主席認定制度」において、10年以上当社のセキュリティ強化に真摯に向き合い続けている野渡が、主席エンジニアの1人に選出されました。

経営層、各開発責任者が絶大な信頼を寄せる野渡ですが、主席エンジニア就任時の思いを「10年以上にわたるチームの取り組みを、改めて評価してもらえたようで嬉しい」と語ります。長年セキュリティ領域に携わってきて感じる最近のセキュリティインシデントの傾向や、サイバーエージェントならではのセキュリティ対策のあるべき姿について話を聞きました。

なお、野渡が統括するシステムセキュリティ推進グループについて、詳しくは「『免疫』のようなセキュリティチームを作りたい~主席エンジニアたちが向き合う情報セキュリティ対策~」をご覧ください。

Profile

  • 野渡 志浩
    2011年入社。主席エンジニアおよびシステムセキュリティ推進グループ マネージャー。
    セキュリティベンダーやSIerにて脆弱性検査サービスの立ち上げやセキュリティコンサルティング業務を担当した後、セキュリティエンジニアとしてEC事業を運営する企業へ。当社入社後は、セキュリティ推進の各部門代表者からなる横断組織「ITセキュリティ戦略室(CyberAgent CSIRT)」の立ち上げや各種プロダクトのセキュリティ強化支援、インシデントハンドリングを担う。

きっかけは、個人的に運用していたホームページへの不正アクセス被害

── 主席エンジニアに選出された際、率直にどのように感じましたか?

セキュリティという、決して成果が分かりやすいとは言えない技術領域を担当しているので、最初に聞いた時は正直驚きました。ただ、10年以上我々チームがセキュリティ対策に向き合ってきた歩みを、主席エンジニア就任という形で改めて評価してもらえたこと、そして技術におけるセキュリティの重要性を経営メッセージとして伝えてくれたことが嬉しかったです。

また、何よりも嬉しかったのは、私が統括するシステムセキュリティ推進グループの他、SRE (Site Reliability Engineering)チームのメンバーなど、日頃から事業成功のために同じ志を持ち、各プロダクトを支える仲間たちが喜んでくれたことでした。

── キャリアにおいて一貫してセキュリティ領域に携わっているとのことですが、セキュリティエンジニアを志すきっかけは何だったのでしょうか?

新卒当時はインフラエンジニアとして働いていました。ネットワーク関連の業務を担当する中で、セキュリティ領域に携わることが増えてきたのですが、特化しようと思ったきっかけは、2000年頃自己研鑽も兼ねて個人的に運用していたホームページが不正アクセスの被害を受け、改ざんされたことです。当時のシステムは現在ほど高度なものではなかったとはいえ、自分なりに対策を講じていたにも関わらず被害に遭い、悔しい思いでした。ただ、不正アクセスされた技術的な経緯を調べていくうちに、対策に漏れがあったことが身に染みて分かったのです。不謹慎に聞こえてしまうかもしれませんが、個人的に運用していたシステムだったこともあり、まるでパズルを解くような感覚で技術的に興味深い経験でした。そこでセキュリティ対策の奥深さに強く興味を持ち、新卒3年目で当時所属していた会社でセキュリティコンサルティングに特化したチームに参画しました。

そこからセキュリティエンジニアとしてのキャリアを歩み始め、前職のEC事業を運営する企業にて、当時としては先進的だったセキュリティ専門組織での経験を積みました。その後、幅広く事業を展開しているサイバーエージェントがセキュリティ領域の経験のあるエンジニアを募集していることを知りました。多様な事業がある当社であれば、様々なセキュリティ対策を検討する機会があるのではと考えたこと、また当時スマホシフトの戦略を強力に推し進めていたこともあって、サイバーエージェントに入社したのが2011年のことです。

── これまでのキャリアを振り返って、ターニングポイントとなった出来事があれば教えてください。

元々「Ameba」のインフラチーム内でセキュリティ専門組織を立ち上げたのですが、2014年ごろ全社の横断組織としてITセキュリティ戦略室を発足し、そのスコープを全社に広げたことです。

メディア事業だけでなく、広告事業やゲーム事業におけるセキュリティ対策についても同じ水準で向き合いたいという思いから、経営層に提案し体制を構築しました。この10年、チーム一丸となってグループ全体のセキュリティ対策に向き合ってきたことで、利用しているソフトウェアに関わる脆弱性対応やリリース前のセキュリティ診断といった技術的な相談に加えて、最近ではプロジェクト発足時にセキュリティ担当として参加して欲しいといった依頼や、組織内にセキュリティを担当する組織を新設したいという相談など、事業や職種を問わず様々な問い合わせが増えてきました。
10年以上蒔いた種が、近年続々と花を咲かせてきたと感じています。
 

グループの組織力を活かした、セキュリティ予防

── 10年以上、当社グループ全体の様々なセキュリティインシデントに対応してきましたが、インシデントの傾向に変化はありますか?

攻撃や不正アクセスのトレンドは常に変化していると考えています。数年前のインシデントでは、各プロダクト固有の脆弱性に起因した、局所的なものが多い傾向にありました。ただ、近年のシステムはクラウドベースで、外部のSaaS(Software as a Service)と連携して使うためシステム上の共通点が多く、何らかのインシデントが発生すると複数のプロダクトで同時に影響が起こることが増えました。

そのため、多くのエンジニアが関わることになり、インシデント対応における施策や取り組み自体が大規模になったと感じます。その傾向を踏まえ、2021年には、プロダクトセキュリティマネジメントの強化を目的とした横断組織「P-Sec Team(プロダクトセキュリティチーム)」の運用を開始しました。各事業部のセキュリティ対策に関わる責任者を設置し、重大インシデント対応の際には各プロダクトの開発担当との連携を図る枠組みです。

以前よりP-Secのような体制を検討してはいたものの、サイバーエージェントでは各プロダクトにおける自由な技術選定など裁量権を重視しているため、共通のルールを設けることによる生産性や企業文化、エンジニアの価値観との乖離を考慮して検討を重ねるにとどめていました。ただ、昨今のセキュリティインシデントの複雑化と対応の大規模化を鑑みて、専務執行役員 技術担当である長瀬を中心としたP-Secを発足させました。P-Sec発足により、従来のインシデント発生を起因としたプロダクトごとの対応だけでなく、サイバーエージェントグループの組織力を活かした予防活動にも取り組めていると感じます。

多様なプロダクトのセキュリティ対策を支えられる要因とは?

── サイバーエージェントではドメインや規模、フェーズの異なる様々なプロダクトを展開しています。幅広い事業のセキュリティ対策を行う上で、システムセキュリティ推進グループはどのようなメンバーで構成されているのでしょうか?

我々の方針として、セキュリティ以外の何らかの分野ですでに一人前としての経験を積んでいるエンジニアでチームを構成しています。例えば私はインフラエンジニアとして、他メンバーはプロダクト開発やSREとしての十分な経験があります。セキュリティはあくまで手段であって目的は事業の成功です。そのため、様々なプロダクトに対しどのようなセキュリティ対策を実装していくのか柔軟な対応を担えるのは、セキュリティの専門家よりも他領域の経験も豊富なエンジニアだと個人的には考えています。

── 最後に、システムセキュリティ推進グループの理念を教えてください。

経済的な合理性を保つことです。セキュリティが向上すると利便性が損なわれる、とまるで自然の摂理のように語られることがありますが、我々が目指しているのはセキュリティと利便性の両立です。現実は難しく、なかなか思い通りにならないこともありますが、常にその意識を忘れないでおこうとチームメンバーにはよく話しています。

また、何らかのセキュリティ施策を検討していて悩んだ時には、セキュリティ対策の合理性や有効性と同時に、損なわれるものが何か考えるようにしています。ユーザーの利益は絶対に守りながらも、セキュリティは手段であり、ゴールは各事業の成功であることを忘れずに、これからも当社ならではのセキュリティ対策を強化していきます。

この記事をシェア

オフィシャルブログを見る

記事ランキング

目指すのは、1,000名以上の技術者のハブになること。オフライン交流イベント「reCAver」運営の想い

技術・デザイン

サイバーエージェントには、各事業領域で蓄積された技術的知見を積極的に共有し、所属組織や職種を超えた技術者同士の交流促進を目的とする様々な取り組みがあります。その1つ、全社横断の技術者向けオフライン交流イベント「reCAver(リカバー)」は、コロナ禍で激減した技術者同士のリアルな交流を促進するため、若手エンジニアの提案によってスタートした取り組みです。誰でも気軽に参加できるイベントを目指して、職種や年次に関わらず興味を持てる技術トピックを毎回選定し、これまで全6回開催してきました。

「reCAver」を提案した運営チームリーダーの上岡と、第1回開催時から運営を担う川谷、高川に、開催のきっかけや継続的に開催するためのコツを聞きました。

Page Top