こんにちは、認証技術黒帯 倉林 雅(@kura_lab)です。
年末、クリスマスをいかがお過ごしでしょうか。私はこの年末はIDや認証のことを考えながら仕事とプライベートで国内外を飛びまわっています。
平成最後の年末ということで節目となりますが、私自身もYahoo! JAPANに新卒入社して9年近くが経とうとしています。
2011年入社時はPCに加えてガラケーのサービスを展開しており、スマートフォンの普及と共にWebからアプリへと注力領域も変化してきました。
今年に入ってからはネットを強みとしていたYahoo! JAPANがリアルを意識した様々な取り組みを始めています。
そんな時代の中、2018年は私自身もいろいろな変化がありました。社外では長年エバンジェリストとして活動を続けていたOpenID ファウンデーション・ジャパンの理事に就任し、国内においてよりID連携を広めていくための体制を整えました。また社内においてはセキュリティ責任者(Information Security Manager、ISM)を経験する機会もありました。
本日は、セキュリティ責任者を経験した倉林より時代とともに変化してきたYahoo! JAPANを守るセキュリティの体制や取り組みについてご紹介します。
セキュリティ責任者とは
Yahoo! JAPANではCEOやCTOに加えて、情報セキュリティを統括する最高情報セキュリティ責任者(Chief information security officer、CISO)がいます。CISOは社内における情報の管理やセキュリティポリシーやセキュリティ強化のための施策の方針を決定します。最近の大きな取り組みとしてはTLS1.0およびTLS1.1のサポート終了もそのひとつです。
CISOが情報セキュリティの最高決定権を持っているわけですが、ヤフーには100を超えるサービスとそれを支えるプラットフォームやインフラがあります。この全てにおいての意思決定をCISOひとりで行うことは不可能なため権限委譲がされています。その委譲先が今回ご紹介するセキュリティ責任者、通称ISMです。
取り扱う情報のリスクが比較的小さいものはISMの判断で課題管理し、計画的にリスクを回避もしくは低減するための改善を行っていくことになります。
また、ISMとは別に各サービスにはセキュリティ担当者がいます。ISMとセキュリティ担当者でサービスのリスクの低減対策を検討できる体制をとっています。
セキュリティ教育啓発体制
長年認証やID連携の技術を専門としているため、ID周辺のセキュリティも学んではいましたが、ISMの任に就いてより広い領域でのセキュリティをみる必要が出てきました。
より効率的なセキュリティの学習ができるように教育プランを考える教育啓発のチームがあります。
ISMはそのチームが選定した情報セキュリティマネジメントシステム(ISO/IEC 27001、ISMS)研修で座学やグループワークなどを通じてセキュリティマネジメントについて学びます。
ISMの研修の他には全エンジニアが対象のセキュアプログラミング研修も行われています。担当プログラミング言語ごとのeラーニングに加えて、外部講師に徳丸浩さんを招いて最新の攻撃手法の事例を座学で学ぶこともできます。
また、社内のエンジニアの教育だけでなく、インターネットの最前線で培ったセキュリティの経験を次の世代に伝えるために教育啓発チームとともにISMや黒帯が九州大学へ赴き約400人の学生に講義を行っています。
このようにISMは研修を通じてセキュリティの基礎から学び、現場の経験を学生へ教えることでさらに知識が深まる機会もある体制となっています。
セキュリティ相談フロー
ここからはISMやセキュリティ担当が行っているセキュリティ相談のステップの概要をご紹介します。
- 企画・設計・開発・運用の各フェーズでセキュリティの課題が発生
- ISMのセキュリティ相談
- ISMの課題管理(リスク小)
- CISOのセキュリティ相談
- CISOの課題管理(リスク大)
- 課題解決・回避完了
上記の一例として社外クラウドの利用があげられます。数年前までは業務ツールの多くはソフトウェアを購入しオンプレミス上に構築して利用していました。昨今はクラウドの業務ツールが普及しており、社内の業務効率の向上や社外パートナーの連携のために利用したいとの要望があがってきます。
オンプレミスに比べクラウドは社内システム外の管理になるため、データ漏えいや消失などのインシデントが発生した際にはリスクが大きくなります。
そのため、実績のないクラウドの業務ツールはリスクアセスメントを行い、リスクの見積もりや低減措置を行います。例えば以下のような観点で整理をします。
- アカウント・パスワード管理
- アクセス権限管理
- リスクの見積もりと低減策
- ツールの利用期限
- アカウント、アクセス権限の定期的な棚卸し など
これらの整理を企画やエンジニアの担当者とセキュリティ担当が事前に整理し、セキュリティ相談でISMが内容を精査することになります。取り扱う情報にはリスクが少なく、十分なリスクの低減措置が可能であれば整理した規定のもと利用開始されます。
別の一例としてシステム設計の相談もあります。以下のようなユーザーの情報を更新・参照するためのWeb APIの提供が必要になったとします。
社内にはシステム構成で安全管理上必要なセキュリティの規定やガイドラインが存在します。ISMはそれらの規定を基準としてセキュリティ観点で必要な構成の見直しを行います。
上記の構成では1階層目のSQLなどに脆弱性が発生した場合、データベース侵入の可能性があるため、中間層にAPIを追加し3階層のシステム構成とすることでSQLの処理を隠すことができリスクを低減することができます。社内からの不要なアクセスを防ぐためにアクセスコントロール(ACL)も追加します。
社内で取り扱う情報のリスクを整理した区分についての規定もあります。例えば、ユーザー情報でもブログで公開された情報とクレジットカード番号では漏洩した際に生じる経済的な損失は異なります。漏洩した際のリスクが高い情報は分離し、安全に管理する必要があるため、通常の本番環境(Production)よりもアクセス権限の制限やセキュリティ対策が強化されたセキュアな環境(Secure)を用いた以下のようなシステム構成が理想となります。
しかし、システム構成上の問題、開発コストや工数の観点で理想の構成にできない場合があります。リスクが高い相談の場合、ISMのセキュリティ相談からCISO相談へのエスカレーションとなります。CISOのリスク低減のアドバイス後、必要に応じて課題管理がなされ、課題の解決または回避が完了するまでISMが管理することになります。
取り扱うユーザー情報の中には個人情報も含まれることがあります。その情報を社外パートナーやグループ会社へ連携する際には、ユーザーの同意が正しく取れているか法務と相談の上、安全に取り扱うためのルールやシステム構成を考え、どの企業とどの情報を提供・授受しているのかを確認、管理するのもISMの役割です。
まとめ
Yahoo! JAPANにおけるセキュリティ教育の体制やISMの役割とセキュリティ相談の流れをご紹介しました。
- CISOから権限の一部を委譲されたISMという役割がある
- セキュリティ教育としてISMやエンジニアを対象とした研修がある
- 社内規定やガイドラインに則れないリスクが生じる場合にはセキュリティ相談が実施される
セキュリティを担当すると完璧な状態を目指そうとしてしまうことがあると思いますが、ビジネスとのバランスが重要だと感じています。リスクをきちんと把握し計画的にどのように改善していくかということが大切だと思います。
この記事で少しでもセキュリティに興味を持ってもらえたら幸いです。
採用情報
Yahoo! JAPANでは学生向けのポテンシャル採用や中途向けのキャリア採用を実施しています。もちろん今回ご紹介したISMを目指したいセキュリティー企画や、認証やIDのエンジニアなどの採用枠も設けています。ご興味のある方はぜひエントリーをしてみてはいかがでしょうか。
最後に
ここまでのAdventCalendarの連載を読んでいただきありがとうございました。最新のフロントエンド技術やバックエンド技術をはじめ、長年使われてきた社内チャットの技術や音声UIや新卒のデザイナー研修などのお話はいかがだったでしょうか。Yahoo! JAPANのエンジニアやデザイナーが触れている技術についての想いのこもった記事は読み応えがあったと思います。
年明けの2019年1月にはYahoo! JAPAN Tech Conference 2019を開催します。
若手からベテランまでのエンジニアが日本の課題を解決し未来を創っていくための最新技術を紹介してくれるので、ぜひ機会がありましたらご参加ください。
それではみなさん、また何かの機会にお会いしましょう。よいお年を!
こちらの記事のご感想を聞かせください。
- 学びがある
- わかりやすい
- 新しい視点
ご感想ありがとうございました
