linotice

linotice

2018.02.14

「日本のインターネットセキュリティを守りたい」―― 100以上のサービスを運営し、月間700億PVを誇るヤフーのセキュリティはどう守られているのか?

セキュリティに関わる社員3名が並んで座っている様子の写真
こんにちは。linoticeの中のヒトです。
ヤフーのサービスを安心して皆さんに使ってもらう上で欠かせないのは「セキュリティを守ること」。インターネットを飛び交うサイバー攻撃の脅威も激しさを増している中で、ヤフーのセキュリティはどのような人々が、どのように守っているのでしょうか?
そこで今回、ヤフーでセキュリティに取り組む大勢いるエンジニアの中から3名に集まってもらい、セキュリティを守り抜くその仕事について話を聞いてきました。

ヤフーのインフラと組織に「セキュリティを守る仕組み」を組み込む


大角 祐介
CISO CISO室 CISO室セキュリティ監視室
小林 聖
システム統括本部 プラットフォーム開発本部セキュリティ&コアテクノロジー部 セキュリティプラットフォーム リーダー
鈴木 重雄
CISO CISO室 CISO室セキュリティ監視室長(部長)

──まずは自己紹介と普段どのようにヤフーのセキュリティ強化に取り組まれているか教えてください。

CISO-Boardのキャプテンと、セキュリティユニットマネージャーを兼務しています。CISO-Boardは5名で構成する組織で、CISO(最高情報セキュリティ責任者)を補佐するとともに全社のセキュリティ戦略を立てる役割を担っています。

脆弱(ぜいじゃく)性診断を専門にしています。脆弱性が見つかったり、侵入行為がある等のセキュリティインシデント(注意すべき出来事)が発生したりした場合に対応する業務を担当しています。情報を収集して、社内に報告する一連のプロセスについて考えることも役目のひとつです。

たとえば鍵を安全に管理するシステムや社内間通信で利用する認証や認可の仕組みづくりなど、ヤフーが提供するサービスのセキュリティ強化のためのセキュリティプラットフォームの開発を主な仕事としています。
ヤフーには組織として複数のカンパニーや統括本部が存在し、業務上、日々さまざまなメールやデータを取り扱うなかで、全社的に一定のセキュリティレベルを担保する必要があります。そのための方法の一つが、私たちの部署で作ったセキュリティツールやライブラリを利用してもらうことです。セキュリティに関するルール作りも、こうした全社的なセキュリティレベルを保つ活動の一環です。
また、大角さんのところで収集した情報を可視化する仕事もあります。たとえば、あるソフトウエアのあるバージョンに脆弱性が報告された場合、それがどのサーバー内に導入されているのかを可視化し、サービスを開発しているエンジニアに通知します。

最も多い侵入経路はメール、多重防御と早期対処で脅威に対応


──皆さん、それぞれ異なる立場でセキュリティに取り組んでいるのですね。では、セキュリティのお話の前提として「どのような脅威があるのか」について教えてください。

最も多いのはメールに関連する脅威です。月に何千万通というメールを処理していますが、そのうち3%前後はなんらかの悪意がある攻撃に関係するメールです。そのため、メールに関するセキュリティは特に重視しています。
標的型攻撃の防御手法であるサイバーキルチェーンをはじめ多重防御の考え方を取り入れ、普通の会社だと「ここまでやらない」ような対応をしています。それでも、脅威を100%防ぐセキュリティは存在しません。変なファイルを開いてしまったりして、社内でPCを回収されてしまうケースがありえます。ほとんどの場合は大事には至らないものですが、感染が広がると困るので、厳しめのルールを作っています。

侵入してくるものを100%防ぐことは無理と言われていて、侵入してきたものに対していかに早く対処するかが大事です。たとえば、社内のPCで不審な挙動があるかどうかもSOC(セキュリティオペレーションセンター)というセキュリティインシデントを極小化することをミッションとする、社内チームの監視対象になっていて、おかしな挙動があるとすぐにPCを回収し、新しいPCに交換ということになります。

SOCは外部の力を借りて24時間365日で監視する体制を取っています。


──メール以外の侵入経路はどうですか?

誰かが怪しいウェブサイトをクリックして閲覧しただけでウイルスに感染することもありえるので、そこも監視しています。対策としては、仮想端末を使うやり方があり、もし一つの仮想端末がダメになっても、すぐに新しい仮想端末を立ち上げて、業務を続けられるようにしています。

──攻撃では主に何が狙われているのでしょうか?

一番怖いのは、内部の情報を抜き出して外に送り出すような動きですね。ヤフーを狙い撃ちにしていると思われる攻撃もあります。


──セキュリティインシデントの頻度はどれくらいですか?

SOCからアラート(警告)が上がってくる中で、気をつけないといけないものの数は月に100件を下回ることはありません。それを一つひとつチェックします。その中には、危険性が高いもの、ダメージが大きくなる可能性がある攻撃なども含まれています。

ヤフーの規模だと、月100件はむしろ少なめです。その手前で防いでいるからこそ、アラートが100件で済んでいる、と捉えています。

セキュリティ人材はどのように育つ?

──ヤフーのセキュリティ関連の業務に就くには、どのような経験が必要なのでしょうか。皆さんの場合はどうでしたか。

新しい分野なので、大学でもセキュリティを専門にしている研究室は多くありません。僕はもともと物理出身で、半導体の研究をしていました。大学時代は計算機センターに入り浸っていて、コンピュータが好き、インターネットで面白いことをしたいと思って最初はニフティに入社しました。そこでセキュリティサービスの担当になって、セキュリティに興味を持つようになりました。
中途入社で入った次の会社が脆弱性診断ベンダーで、この仕事は実務をしないと身につかないので3年間働いて。日本のインターネットを安全安心にしたいという思いがふくらみ、それができる会社ということでヤフーに入社しました。

私はヤフーに新卒で入社して10年になります。私の場合は、配属された部署がセキュリティのチームで、入社以来ひたすらセキュリティ関連の仕事をしてきました。
開発する部署ですので、最初からセキュリティの知識がある人だけでなく、勉強しながらやっていくスタイルでも可能ではないでしょうか。
私たちのように開発をしてきたエンジニアもいれば、セキュリティポリシーを考える、診断する、アーキテクチャを考えるエンジニアはそれぞれ違うキャリア、違うロールモデルがあっていいとは思います。

たとえば理系でなくても、不正アクセス禁止法や個人情報保護法など法律に詳しい人であれば、その分野でふさわしい仕事があります。なので、文系の人がセキュリティ専門家を目指すことがあっていいと思います。

ちなみに私は文学部出身です(笑)。ここ4年ほどはセキュリティに特化して仕事をしていますが、その前の10年はネットワーク、サーバーなど全部を見ていました。われわれのビジョンが日本のインターネットを守る、そういう意識でやっています。

──社外活動への取り組みもあるのでしょうか。

各企業でセキュリティ情報のとりまとめをしているCSIRT(Computer Security Incident Response Team)同士で連携を図る日本シーサート協議会には、YJ-CSIRT(Yahoo! JAPAN Computer Security Incident Response Team)として加盟しています。ほか、いくつかの団体への参加、それにコンテストへの協賛もあります。CISO-Boardの一人である楠正憲さんは社外活動が多いのですが、そこでも一生懸命セキュリティへの取り組みについて語っています。

開発現場と一緒に進めていく姿勢も大事

──では皆さんはどんな毎日を送っているのですか?

出社してから、午前中に1時間ほどかけて脆弱性情報を調べます。特に危なそうなものを広くみていきます。必要なら告知を出します。午後の仕事は、サービスごとに外部に依頼して脆弱性診断をしているのですが、その調整が中心です。これは資料作成やミーティングなどです。緊急対応が必要なものがあれば、そちらを優先します。セキュリティインシデントの頻度には「波」があるので、複数の報告が重なるとてんてこまいです。

CISO-Boardには、各サービス部門から上がってきた相談が届きます。またヤフーのセキュリティ全体がこれでいいのかという議論をしています。これは会社規模のことに関してやサービスごとの内容、またデータの管理方法など多岐に亘ります。併せて、地方の各拠点にどのような業務があり、どこに気をつけなければならないのか、そこも検討します。情報セキュリティにたどり着くまでの物理セキュリティも見ています。


──範囲がとても広いですよね。どのように対応しているのでしょうか。

CISO-Boardのメンバーは一人一人に得意分野があります。細かい部分は得意なメンバーに確認します。みんなで議論するのは、「ポリシーとしてそれでいいのか」についてです。 一度作ったポリシーは、全面刷新することはそれほど頻繁にはありませんが、細則やガイドラインについては細かくアップデートをしていかないといけません。


──現場との協調については、どのような工夫をしていますか?

一つは社員教育です。世の中にはこんな問題があり、その対策をしないといけないという、社員全員に向けての教育のほか、エンジニア向けの教育メニューも加えてきています。

使いやすさという点には気を付けています。サービスを作るエンジニアにセキュリティプラットフォームを利用してもらう意義としては、「セキュリティを一定以上に担保する」だけでなく、「よりサービス開発に集中してもらう」ことにもあります。
たとえば、われわれが提供しているプラットフォームの一つとして、データベースへアクセスするためのパスワードや暗号鍵を安全に管理するシステムがあります。セキュリティを維持するため半強制的に利用してもらう必要があるのに、導入コストが高かったり使いづらかったりすると「サービス開発に集中」はできないので。
サービスを作る側からフィードバックをもらうことでシステムをより良く改善していくことを心がけています。

一般論として、セキュリティ担当者は現場から嫌われてしまうことも多いので、そこは気をつかいます。「お互いに、これをやればセキュリティが確保できていいよね」という考え方でやっています。

大角さんがいる部署は、いろいろなことに詳しく自分たちの手でセキュリティ関連の診断ができるエンジニアの部隊を目指しています。自分で診断できる人が多いほど、安全安心なサービスを作れます。

知識だけでなく技術的な好奇心も必要

──セキュリティ人材には、どういう人が向いていますか?

CISO-Boardについては、空想できる人、夢をもてる人がいいですね。「こうなっているといいよね」という将来像を描いて、バランスよく見ることができる人がいい。

広く浅くの知識が必要です。脆弱性診断をいきなり最初からできるかというと、そこは難しい。ふだんからミドルウエアを運用していないと、どこにどういうものが入っているかのアタリを付けられません。それと、性格が細かい人が向いています(笑)。ここの設定がおかしいじゃないかとか、ここから入れるようになっている、といった隙を見つけるのが得意な人がいいですね。

「普通の人はそこまでこだわらない」という部分に脆弱性が潜んでいる可能性がありますから。

脆弱性診断を長くやっていると、性格が悪くなると言われています。自分はそうならないよう気をつけてやっているつもりですが(笑)。脆弱性にはいろいろな種類があります。こんな攻撃方法を使って、こんなデータが取れちゃうんだというところに技術的な好奇心が持てる人がいいですね。


──ヤフー社内でセキュリティに関わる職種に就いている人はどれくらいいるんですか?

主務で40人くらい。小林さんのいるセキュリティプラットフォームに20人くらい。各カンパニーにもセキュリティ専門家はいるので、全社では兼務を入れると100人は軽く超えます。6000人を超える規模の会社で100人のセキュリティ専門家がいるのは、比率として高いのではないでしょうか。

──セキュリティ専門家としてのやりがいを感じるときは、どんなときですか?

セキュリティ上の穴を指摘して、その数カ月後に同じ種類の穴を狙った攻撃がはやったことがあります。このときは事前に指摘できたことで、すぐに直して対応することができました。こういうときには、ある種のやりがいを感じます。
攻撃者との戦いでうまくかわしたり、防御したり、裏をかくことは、面白い──というと怒られるかもしれませんが、エンジニアとしての興味を引きつけられる仕事だと思います。

セキュリティには終わりがなく、どういうソリューションが大切なのかを考え続けないといけません。常に新しい技術に触れられることは、楽しみながらやることができる大きな理由のひとつですね。私たちのチームは、社内向けのセキュリティソリューションを開発すること、作ることが仕事です。
セキュリティというと「攻撃をどう防ぐか」といった話題が多いですが、開発に携わるプログラマーとして、自分でモノを作りたい人にもセキュリティ系の開発という仕事があることを知ってもらいたいと思っています。

──普段、ヤフーのサービスを使うときにはセキュリティについて意識せずに済んでいますが、実はよく考えられた何重にもわたる防御の仕組みと、皆さんの日々の取り組みによって守られていることがよく分かりました。どうもありがとうございました。


撮影:池宮 伸次(Yahoo! JAPAN公式カメラ隊)

採用情報 公式SNSアカウント

このページの先頭へ