GMOペパボ株式会社は、「インターネットで可能性をつなげる、ひろげる」というミッションのもと、レンタルサーバやドメイン提供などの「ホスティング事業」、個人向けカートシステムからスタートし成長した「EC支援事業」、ハンドメイドをはじめとするものづくりの総合プラットフォームを運営する「ハンドメイド事業」の3つの事業ドメインを展開する。
GMOペパボ セキュリティ対策室は、室長の熊野とエンジニア2名とアルバイト1名からなる計4名の少数精鋭体制。腕に覚えのある3名が技術面を担当し実際に現場で手を動かし、熊野はポリシー策定など「セキュリティ対策が実施できるように文化面から支援する」役割を担っているという。
セキュリティ対策室は、同社のサービス全てに横串を通したセキュリティ対策と運用管理を行う。業務は、8割がサービスやプロダクトのセキュリティを守ること、残り2割はEDR等が社内ネットワークの異常を検知した際など、必要に応じ情報システム部門のサポートを行うことだ。
セキュリティ対策室設立のきっかけは2018年1月に同社で発生したセキュリティインシデントだ。
それまでセキュリティを軽視していたわけでは決してない。各サービス部門で担当者を置いて対応していた。しかし、攻撃者にとってのタッチポイントが、想定していた以上に存在していたことに気づかされた。
ステークホルダーのためにも、できるだけ早くインシデントの終息宣言を出したい。しかし、一つのサービスが被弾したということは、他のサービスでもいつ同様の事案が起きてもおかしくない。同じような攻撃を許すところが他のサービスにもないかどうか、全サービス横断の脆弱性診断を実施しなければ終息宣言などあり得なかった。
どのサービスの機能を優先して、脆弱性診断を実施するかを洗い出すために、GMOペパボの全サービスを仔細に、しかし同時に俯瞰するシートを作る必要があった。しかし社内で工数見積を行ったところ、それには1ヶ月強はかかると判断された。
この、GMOペパボ社内で難渋していた、洗い出しと一覧シートの作成に名乗りを上げたのが、株式会社SHIFT SECURITYという、当時の熊野にとって聞き馴染みのない新しい会社だった。対象洗い出しにかかる社内工数がSHIFT SECURITYの支援で3分の1まで削減できたことで素早く脆弱性診断に取り掛かることができた。それがSHIFT SECURITYとの初回の取引になった。
「脆弱性診断は結果のみが注目されがちですが、さまざまなコミュニケーションや雑多な洗い出し等々、顧客のいろいろな手間を削減するのも我々の役目と考えています(株式会社SHIFT SECURITY )」
プロジェクト進行にあたるコミュニケーションコストを下げるためSHIFT SECURITYは、GMOペパボが社内でSlackを使用していることにすぐに対応、診断作業の諸連絡のためにSlackのチャンネルを開設した。
「コミュニケーションを密に取っていただいて、本当にありがたかったです。Slackは準同期的にコミュニケーションが取れる。メールでのやり取りは、都度『お世話になっています』『よろしくお願いします』が入る。それをタイプするのも生産性が下がる要因だと僕らは考えています。SHIFT SECURITYさんは、僕たちに対しても生産性を落とすような不要な敬語や丁寧語を使わず、僕らのフランクな空気に合わせて会話してくれて、それがセキュリティ運用の生産性を上げる一因になりました(熊野)」
熊野はSHIFT SECURITYがGMOペパボの企業文化と合う会社だと考えた。
--
熊野がScanNetSecurityの読者であることは、過去発生したインシデントへの言及を避けて通れないことを承知したうえで今回の取材を快諾した理由のひとつ。熊野はセキュリティの最新動向を知るためにScan PREMIUMを登録講読している。熊野はScanNetSecurityを、サービス選定の判断材料としてもいるという。
熊野がセキュリティ製品の選定の際に重視するのは、その製品やサービスを提供する企業のカルチャーだ。セキュリティの製品やサービスは導入が完了してからの運用フェーズこそ重要であるため、たとえ機能や価格が優れていても、カルチャーが合わないと運用のさまざまな局面でぶつかりあいトータルコストが増加するからだ。
熊野は、ScanNetSecurityの企業や製品の取材記事を通してその会社のカルチャーが見えてくるという。とくにPR記事を評価する。たくさんある製品やサービスをひとつひとつ検証したり調べたりする時間的余裕はなかなかないため、PR記事を通じ、その会社がGMOペパボに合うかどうか判断材料のひとつとするのだ。
--
「結果だけでなくそこに至るプロセスも重視するGMOペパボの企業文化と、SHIFT SECURITYは合っていると感じた(熊野)」という。契約継続の決め手のひとつはカルチャーだった。
GMOペパボ セキュリティ対策室の4名がいかに精鋭でも、すべての同社サービスやプロダクトのセキュリティを隅々まで見ることは物理的に不可能だ。GMOペパボでは、各サービスの脆弱性診断などの対応は、それぞれのサービスのエンジニアが通常の開発と並行しながら行っている。そのため、できるだけ負担なく安全を確保すること。それが熊野に課された課題のひとつだった。
まず最初に熊野が大事にしたこと。そのひとつはここまでも述べてきたカルチャーである。熊野は自分がセキュリティ対策室 室長に推挙されたのは、インフラ技術者としての経験だけでなく、入社10年の社歴を持っていたことも評価されたと分析する。会社の成長とともにキャリアを重ねた熊野なら、GMOペパボのカルチャーを理解しながら、さまざまな部門やそこにいるキーパーソンと協働や調整を行うことができる。
・みんなと仲良くすること
・ファンを増やすこと
・アウトプットすること
これはGMOペパボが掲げる「わたしたちが大切にしている3つのこと」だ。
セキュリティは技術の側面ばかりが取りあげられがちだが、実は現場で一番ものを言うのは、人間力や交渉・調整力だ。インシデントが発生したとなったなら、なおさらである。単なるガバナンスや押し付けではなく、会社のカルチャーに基づいて、相手への敬意を失わずにコミュニケーションをとるスタイルで熊野は仕事を進めていった。
GMOペパボのセキュリティを支えるもうひとつの重要なポイントは「いままでにないものを作る」という目標である。
その成果のひとつが、Slackのbotを使って自動化されたインシデントレスポンスだ。CSIRTがインシデントレスポンスを回す際、インシデントはシステム的に検知できることもあれば、人間が検知することもあるが、いずれにせよそれがインシデントであるかどうかというのは、検知者一人の判断では決まらないことが多い。
GMOペパボでは、システムによる検知も人間による検知も、いずれもSlackを通じて関係者全員に即時共有される。もちろんシステムによる検知の場合は自動でポストされる。
「状況を共有してもらうことが第一歩だと思います。それをbotを通じて行います(熊野)」
各事業にはさまざまなロールの人物がいる。セキュリティ対策室は決して多い人数とはいえない。それを効率的に回すために、ツールによるインシデントレスポンス自動化の仕組みが生まれた。
Slackには絵文字のリアクション機能がある。シンプルに絵文字をクリックする1アクションだけで、事象がプロジェクトに関わるいろんなロールの人に共有できる。関わる人に認知してもらうことで「それは部門内で解決できる事象だ」「外部からの攻撃ではない」といったことが判別できる。
もしも「何かしら機密性・完全性・可用性のいずれかが侵害されていそうだ」となったら、botを通じてチャンネルを作ってそこでインシデントレスポンスを進行する。オープンチャンネルから切り離してトリアージをすすめ、収束から再発防止までそのチャンネルで一気通貫して実施する。
熊野がbotによるインシデントレスポンスの自動化を進めたもうひとつの理由は、属人化の回避だ。セキュリティ対策室の技術者がどれだけ優秀でも、できる仕事は有限だ。
「たとえどんなに優れた人でも、一人のエンジニアの裁量に委ねていたら攻撃が検知できないという状況を生みかねない(熊野)」
また、botによるインシデントレスポンスは「心理的安全性」の確保にも繋がると熊野は考えている。心理的安全性とは、従業員が安心して自分の考えを自由に発言したり行動に移したりできる状態のことで、グーグルのレポートで注目された概念であり、効果的チームを作り、組織の生産性を高める必須要素とされている(ちなみに単に組織内でぬるま湯的に仲良くするような概念ではまったくない)。
セキュリティは組織全体の課題だから、インシデントが発生した際に誰かが責められるような状況はあってはならないと熊野は考える。
セキュリティは通常のIT領域と異なり、攻撃によってインシデントが発生することで、正否が突きつけられる特異な分野だ。通常のIT投資はもちろん、シビアな結果責任を問われる営業のような仕事ですら結果にはグラデーションがある。もちろんインシデントの深刻さにもグラデーションはあるものの、セキュリティの「結果」は究極、防げたのか事故が起こったのか、0と1しか存在しない。
そのためセキュリティに携わる人は経験を積めば積むほど一種の「サンクチュアリ」「理想」を心に持つ。
「Web診断業務はなくなってもいいと思っている」「診断ってもの自体なくなったらいいんじゃないのかなとは思っています」“診断会社ソムリエ” 濱本常義と、“診断のプリンス” ことMBSD国分裕は、昨年のScanNetSecurityの取材で期せずしてまったく同じ趣旨の発言をしている。マネーフォワード木村直樹は、たとえ会社から自分がいなくなってもセキュリティ管理体制が支障なく回るまで仕組みを構築すること「自分がここからいなくなること」を仕事の究極の目標に置いていた。
「セキュリティに携わるすべての人間に可能な限り心理的安全性を確保する」
これは、濱本や国分、木村のようなラディカルさのない、ソフトでフェミニンでもある、熊野らしいセキュリティへの新しいアプローチだといえるだろう。
「セキュリティの仕事は重責であたりまえ。それに耐えてこそ真の漢(「漢」は「おとこ」と読み、なおかつ「ハッカー」というふりがなを振ってあると思って読むべし )」そんなマスキュリンな価値観とは少々趣が異なるこの考えこそ「いままでにないものを作る」熊野のやり方のコアだ。
また、心理的安全性はSHIFT SECURITYにもあると熊野は考えている。
SHIFT SECURITYは、脆弱性診断の作業工程を細分化し、数千の各作業単位をデータベース化し、進捗管理プラットフォームに投入・共有している。同社が直接雇用する総勢130名の脆弱性診断員の間には個人の技倆の差が存在しない。まるでT型フォードの工場のように同じ品質のサービスが提供される。
SHIFT SECURITYの心理的安全性とは。熊野の考えはこうだ。
標準化プラットフォームが仕事の質を担保するから、特定の診断員でなければ検出できないといった属人性がない。だから「自分が休みをとったらサービスの質を下げてしまう」というプレッシャーはどの診断員にも存在しない。できる人物に仕事が集中し残業がつづくこともない。
その逆もしかりで、平均より能力の劣る診断員はいないから「自分が足を引っ張ってしまうのではないか」と心配することはない。プラットフォームの上で最大限に能力を発揮することができる。
「社内的に診断員の方の心理的安全性が保障されていることも、SHIFT SECURITYのサービスを利用し続ける理由のひとつです(熊野)」
脆弱性診断などの業務委託先は熊野にとって、安く早く高品質なサービスを提供させる「出入業者」ではなく、自分たちが価値を置く文化に同じく価値を置く「同僚でありチームメンバー」なのだろう。
最後にふれておきたいのがGMOペパボの経営層のセキュリティへの支援である。
2018年のインシデント発生後、GMOペパボの取締役は約半年後の秋期情報セキュリティマネジメント試験を受け、受験者全員が合格したという。
こんな話をすればきっと「そんなものただのセレモニーだ。CISSPをとるか DEF CON CTFで入賞でもしたら認めてやる」と、ScanNetSecurityのハードコア読者の一部が考えるかもしれない。
しかし、事故が発生してからわずか半年程度で、多忙を極める役員が情報セキュリティマネジメント試験に一発合格することは果たして簡単なことだろうか。しかも合格したのは社長を含む取締役3名だ。
「僕らがセキュリティをやっていくということに対して経営がそういう姿勢を示してくれた。この話をすると他社さんから『いいですね。うちの役員にも聞かせたい』という話をされます。それ以降は何をするにしても、彼らの賛同が得られているように思います(熊野)」
・・・・・。うちの役員にも聞かせたい。
