Visionalのセキュリティを支える、仲間づくりと文化づくり 〜Visional Security Lounge Vol.3 開催レポート〜
2022年3月30日、企業のセキュリティ領域を担う担当者、責任者、そしてセキュリティ対策への判断を行う経営者の方へ向けたVisional主催のセミナー「Visional Security Lounge」の第3回を開催しました。
当日は、「Visionalのインシデントへの備えと対応 〜モニタリング・Log4j対応のリアル〜」というテーマのもと、Visionalの取り組みについてお伝えしました。今回は、セミナーの内容を抜粋してレポートします。
Visionalでは、CISO(ChiefInformation Security Officer:最高情報セキュリティ責任者)をセキュリティトップに置き、グループの各事業やプロダクトのセキュリティ強化のための取り組みに努めています。
今回のセミナーでは、Visionalグループ全体のセキュリティ領域を担う部署より、セキュリティアナリストの岩原正典と、ホワイトハッカーの佐藤仁が登壇し、具体的な事例や、実際の体験から得た知識やノウハウをお伝えしました。
テーマ
Visionalのインシデントへの備えと対応 〜モニタリング・Log4j対応のリアル〜
内容
●オープニング
「Visional Security Lounge」と企業のセキュリティ動向
(Visional CISO 若井大佑)
●メインセッション
・インシデントへの備え 〜Visionalの場合〜
(Visional セキュリティアナリスト 岩原正典)
・インシデント対応 〜2つの秘訣〜
(Visional ホワイトハッカー 佐藤仁)
●質疑応答
●オープニング
「Visional Security Lounge」と企業のセキュリティ動向
Visional CISO 若井大佑
冒頭は、Visional CISOの若井大佑より、企業セキュリティの現在について、俯瞰した広い視野でお話ししました。
若井 大佑/Wakai Daisuke
1999年、銀行のシステム子会社に入社し、技術開発、インフラ業務に従事。2007年より、ソフトバンクBB株式会社(現:ソフトバンク株式会社)で情報セキュリティを中心としたソリューションの導入・運用やセキュリティオペレーションセンターの開設を担当。2015年、セキュリティ戦略部部長に就任。2017年、株式会社ビズリーチに入社し、2019年、CISO兼情報システム本部本部長に就任。2020年2月、Visional CISOに就任。
ここ数年、コロナ禍によってクラウドの活用は目覚しく躍進し、リモートワークが推進されていきました。これによって、働き方が大きく転換してきていることを感じている方も多いのではないでしょうか。
それに対して、セキュリティは変化に対応できたのでしょうか? 皆様の会社では、今までの守り方や方針、従業員との関係に固執して、やり取りに不具合が出ていたりしませんか?
変化に対応できずによく起こるのが、このような状況です。
守るべきルールはもちろんありますが、今の状況に照らし合わせた際に、このルールが本当に最適なのか見直すことが重要なのです。セキュリティはお客様や従業員や企業を守るべきもので、押し付けるものではなく、必要なことを分かりやすく伝え、共に解決していくものです。
そこで最近心掛けているのが、このようなことです。
事業会社のセキュリティ担当の皆さんにおいては、こうしたテーマと日々向き合い、どうやって解決していくのか?について頭を悩ませているのではないかと思いますが、いかがでしょうか。
そうした方々に向けて、この「Visional Security Lounge」を開催しています。ぜひ、皆さんのセキュリティ活動のお役に立てればと思っています。
●メインセッション1
インシデントへの備え 〜Visionalの場合〜
Visional セキュリティアナリスト 岩原正典
セミナーの前半では、インシデントへの備えやモニタリングの体制など、Visionalのセキュリティ対策について岩原がお話しました。
岩原 正典/Iwahara Masanori
2013年、金融系SIerに入社。7年間にわたり、セキュリティ機器の導入・運用・セキュリティ監視業務に従事。20社以上の企業に対しセキュリティ機器を導入した実績を持つ。2020年、株式会社ビズリーチに入社。セキュリティ監視システムの構築やセキュリティインシデントの対応を行う。現在は、Visionalグループ全体のオフィス環境、Web環境に対するセキュリティ監視やセキュリティリスクの可視化推進を担当する。
・セキュリティ室の部署構成
今回登壇する岩原と佐藤は、グループのセキュリティを担うセキュリティ室に所属し、セキュリティの技術対策支援を担当するグループにいます。部署の構成と役割はこのようになっています。
・インシデントへの備え
当社のセキュリティモニタリングで特に力を入れているのが、攻撃の予兆を発見し、インシデントを未然に防ぐことです。
また当社は、モニタリングを外部のベンダー様に任せておらず、自社で運用しているという特徴があります。自社でモニタリングを実施することにより、当社のリスク基準にあった対応ができていると思っています。
・セキュリティモニタリング
当社のセキュリティモニタリングにおいては、モニタリング分析基盤を活用し、複数のログを一つに集約することで、攻撃の開始から完了までを一つの基盤でモニタリングすることができています。
以下は、当社のセキュリティモニタリング構築のステップです。
(セミナーでは、一つひとつのステップについて説明しました。)
モニタリングの体制やフローを構築するために実施することはたくさんあるのですが、最初から全ての工程に完璧を求めて取り組むと時間がかかってしまいます。スモールスタートで、できる範囲で可視化・分析するところから始めてみると良いと考えています。
・インシデントへの対応速度を速めるために
最後に、Webサービスを運営しているプロダクトチームとの連携についてお話しします。
過去のインシデント対応においては、プロダクトチームの中でも特に状況を把握しているメンバーを対応チームに召集し、明確に役割は決めずにインシデント対応に当たっていました。しかし、それにより、情報が錯綜したり、調査の際に出戻りが発生してしまう、というケースが発生していました。
現在は、各部門で責任者・意思決定者を設置し、情報を統制してもらうようにしています。担当者レベルまで役割を設定してもらうことで、インシデントの対応時のスピードを速めています。こうした体制を作ったことで、インシデント対応時には、プロダクト、セキュリティ両チームが強く連携できています。
インシデントの対応速度を速めるポイント
・意思決定者を決めてコミュニケーションをスムーズに
・攻撃を検知した際はプロダクト、セキュリティチームで一丸となって対応
●メインセッション2
インシデント対応 〜2つの秘訣〜
Visional ホワイトハッカー 佐藤仁
セキュリティ界隈では記憶に新しいLog4jの脆弱性の脅威。Visionalでは、脆弱性情報検知から全プロダクトの確認対応まで、わずか7時間で対応完了しました。
後半では、そのインシデント対応について紹介しつつ、脆弱性管理を向上する取り組みとその背景について、佐藤よりお話ししました。
佐藤 仁/Sato Jin
ホワイトハッカーCEH(Certified Ethical Hacker)を取得しているホワイトハッカー。大学卒業後、営業、Web・スマホアプリの受託開発を経て、セキュリティの業界へ。その後、6年間で国内外200社350以上のサービスの脆弱性診断を経験。2019年、株式会社ビズリーチに入社し、脆弱性管理・診断業務の再構築を担当。2021年より品質管理グループのリーダーとして企画設計のセキュリティレビューおよび脆弱性診断を全社横断的に実施し、各事業部がリスクコントロールを自律的に行えるよう支援を行っている。
・品質管理グループの役割
品質管理グループは、情報システムの開発/運用に関するリスクのコントロールの支援と、関連するルールの策定を行うチームです。
・Log4jの脆弱性が世界に与えたインパクト
Log4j、Log4Shellとも呼ばれている脆弱性によって、全世界で非常に広範囲で被害が出ています。アメリカでは、Log4Shellに関して顧客のセキュリティを確保していない会社は、法的措置をとるという話が出ていたり、現在の経済安全保障の推進においても考慮され始めています。また最近は、サプライチェーンリスクも話題になっています。
脆弱性については、法的な強制もあり得るということを改めて認識するような時代になってきており、Log4jは、そうした転換点となる大きな脆弱性だと言えます。
Visionalでは、脆弱性への攻撃が本格化する前に対応を完了しており、今回はその時の体制や対応についてお話ししたいと思います。
・1つ目の秘訣 〜即時性と正確性を両立させる運用体制〜
即時性と正確性、その相反するものを両立させた運用体制についてお話します。
以前は、情報を検知した後に対応や方針が決まらず、緊急にもかかわらず各所への連絡や対応依頼が遅くなってしまうというジレンマがありました。例えば、このようなことに時間を要していました。
・脆弱性の情報を集めるための文案を考える。
・「対応の内容は現実的か?」「検証や再現性はどこまで考えるか?」について確認する。
・文案をレビューし、意見を募り、会議で合意を得る。
・「それぞれの送信先に合わせた表現や補足情報・体裁となっているか?」について確認する。
延々と依頼を出せず、結局、事業に負担をかけてしまうこともありました。
正確性を優先するあまり、即時性が蔑ろにされてしまっている状況に対し、問題点を探り整理していったのが、このスライドの内容です。
結果、確認依頼と対応依頼を分けることにしました。そして、第1報に関しては、安全か危険かだけを仕分けることにし、それ以降の仕訳も整理し、最小限の労力で正確性と即時性を担保できるようなフローを作りました。
誰でも決まった流れで第1報を確認でき、かつ、即時の連携はこのフローで行えます。ただ、全13のサービスを運営するVisionalの組織をこのフローに乗せるには、もう1つ秘訣があります。
・2つ目の秘訣 〜強制ではなく共生するセキュリティ〜
2つ目の秘訣、それは、一言で言えば「文化づくり」です。
Visionalのセキュリティ対応では、エンジニアが主体的に協働して解決する文化があります。要点としては、以下の3つです。
・失敗が否定されない文化づくり
例えば、間違った情報発信であったとしても、失敗を粗探しして否定してしまうより、一人ひとりが「これって重要なんじゃないのかな」と、自分ごととして捉えて、情報の不足や漏れを補い合いながら良い形を目指していこうという文化があります。
・禁止ではなく相談してもらえる文化づくり
安易な禁止で「ビジネスを止めて守る」のではなく、安全に並走する方法を見い出し「ビジネスに並走して守る」ことを徹底しています。「セキュリティ室が来たらビジネスを止められてしまう」のではなく「一緒になんとかしてくれる」という雰囲気ができあがってきています。
・セキュリティはエンジニアと一緒に創る品質だという文化づくり
セキュリティはダメなところを指摘するのではなく、「品質を付加するもの」「価値を高めるもの」というメッセージを発信し続けています。サービスは最終的にはお客様、利用者様のためにあるものなので、お客様の本質的な課題解決を目指してやっています。
私たちが、Log4jの脆弱性への対応を7時間で完了させることができたのは、このように、それぞれが立場を越えて協力し合える文化とシステム運用を考え抜き、育んできたからこそです。
・文化がつくられた背景
こうした文化が浸透するきっかけになったのは、脆弱性診断です。
最初は、これでもかと論理武装して事業に押し付けてしまっていました。教科書的な対策がビジネスにとって最適ではないということが分かっておらず、むしろ躍起になって脆弱性診断の正解を極めて、現場との軋轢を産んでしまっていたのです。
そして、次のような意識を自身とチームで持つようになったことで、「文化として品質を作っていこう」と変わっていきました。
・第三者ではなく仲間として、ともに事業づくりを推進する当事者になること
・サービス全体を知ろうとし、開発工程や打ち合わせに入り込むこと
・本質的な課題に当たるまで、批判を恐れず訊くことに努めること
これが、エンジニアとの協働を実現する背景になったと思っています。
・セキュリティという価値を一緒につくりあげていく世界観
品質管理グループでは、このような目標を掲げています。
最終的には、リスクコントロールを当たり前にできる文化を広げていって、システムだけではなく、情報セキュリティ、もっと大きくリスクという範囲に広げていくことで、新たな挑戦に注力でき、より大きな価値を生み出していくような環境や組織の実現を一緒に目指しています。
最後に
今回のセミナーのポイントは、社内のセキュリティ品質を高めていく、また、お客様の本質的な課題を解決するために、「事業部と伴走できるセキュリティチーム」を作っていくという意識改革をしてきたことにあると思います。
事業づくりに自分ごととして参加する、一緒に事業づくりを推進する仲間たちと一丸となって対応するセキュリティチームが、Visionalの「共生するセキュリティ」という文化をつくり上げ、それが日々のインシデントの備えと対応の成果に繋がっているのではと思います。
今後も「Visional Security Lounge」では、セキュリティ領域における様々なテーマに切り込み、参加者の皆様のセキュリティレベルの向上に繋がるような情報を共有していきたいと思います。
関連記事
この記事の執筆担当者
伊藤 友里/Ito Yuri
日本大学文理学部心理学科卒業後、株式会社ワコールに新卒入社。その後、JASDAQ上場の不動産会社、外資系IT企業の広報を担当。東日本大震災後、総合マーケティングコンサルティング会社にて、企業PR・ブランディングのコンサルタントを務め、2020年、株式会社ビズリーチへ入社。現在は、ビジョナル株式会社社長室グループコミュニケーショングループで、リスク・クライシスコミュニケーションを中心に、インターナルコミュニケーションなどグループのコミュニケーション活動を担当。
「VISIONAL ENGINEERING」Twitterアカウントは、こちら。
「All Visional」Twitterアカウントは、こちら。