CSIRT立ち上げ、セキュリティ内製化、攻撃の研究――いまこそ最前線の声を聞け!:@IT セキュリティセミナー 東京・福岡・大阪ロードショーリポート(3)(3/4 ページ)
攻撃に利用するための「全世界の脆弱なDNSサーバーをリストアップ」するのにかかる時間は? CSIRTの立ち上げやセキュリティの内製化など、ここでしか聞けなかったセッションを紹介しよう。
ディー・エヌ・エーが語る「情報セキュリティ内製化のススメ」
インターネットを通じてさまざまなゲームやサービスを提供いているディー・エヌ・エー(DeNA)。そのシステム本部 セキュリティ部部長を務める茂岩祐樹氏は、「事業会社の情報セキュリティ内製化のススメ」と題する講演の中で、決してセキュリティを本業とするわけではない同社が、自社内にセキュリティチームを持ち、検査に取り組んでいる理由を説明した。
動きの速いゲーム業界に向け次々と新しいタイトルやサービスを投入しているDeNAだが、「今、スクラッチで書いているのは1割くらいで、ほとんどはオープンソースや既存のコードを使っている。従って、使っているミドルウエアやパッケージにも目を光らせなくてはいけない。もし、オープンソースソフトウエアに問題が見つかったとき、速やかに機能をオフにできるようにするには、どこでどんな機能を使っているか、どんなミドルウエアを使って連携しているかを把握しておく必要がある」(茂岩氏)。それが、内製化のポイントの一つにもなっているそうだ。
もしソフトウエア開発時に新たなオープンソースソフトウエアを利用したい場合は、自分たちにどういった影響が及ぶ恐れがあるのか、セキュリティチームが確認した上で判断を下している。「便利だからといって何でも使ってしまうと、自分たちのソフトに何を取り込むか分からないことになってしまう」(茂岩氏)。
もう一つ、同社が自力で取り組んでいるのは「セキュリティ診断」だ。一口にセキュリティと言っても、カバーすべき分野は多岐にわたる。いきなり全てに取り組むのは難しい。「そこで僕らがやったのは、選択と集中。頻度やインパクト、難易度などの観点で見て、うちで取り組むべきは診断だと判断した」(茂岩氏)。
繰り返しになるが、同社では数ヶ月単位で新たなサービスを開発し、リリースしている。中には手戻りが発生したり、逆にリリースを早めたりすることもあるが、セキュリティ診断を外部の会社に依頼している場合、こうしたスケジュール変更に柔軟に対応してもらうのが難しかった。加えて、ゲームに関するセキュリティ診断の経験がある会社が少なかったこと、自分たちにフィットしたレベル感のレポートを求めていたことなど、いくつかの理由から、自社で実施することに決めたという。
「最初はスモールスタートでした。ツールはお金をかけずにオープンソースソフトウエアを利用し、人手は自分と、それから少しずつ社内の仲間を探して引き入れていきました」(茂岩氏)。トレーニングを通じたスキルアップや、カンファレンスでヨコのつながりを培うことで、少しずつ体制を強化してきた。
その中で学んだことが「セキュリティにも、インフラにおけるDevOpsのような取り組みが必要。平たく言えば、開発と運用が仲良くしないとダメということ。開発と運用が分断されていると、後々問題が起こりがちだけれど、運用メンバーが開発設計段階から参加し、フィードバックしていくことで、問題に早く気付いて修正できるようになる。セキュリティも同じで、システムの設計構築段階から食い込むべき」(茂岩氏)。
そして、「内製が鍵となるのは、組織を理解し、一人称で問題に取り組めるから。中にいる人が責任を持って、開発や企画の人たちと目的を共有して『自分たちの事業だから、一緒に守ろう』と取り組めることがポイントだ」とした。
ただ、いきなり全てをうまく回そうとしても無理がある。同氏は最後に、「完璧を目指さないこと」「時にはあきらめも重要で、本当に守らないといけないのはどこかを見極め、そこから広げていくこと」といったアドバイスも送っている。
【関連記事】
DevOpsで変わる情シスの未来(3):
DeNAのサービスが強い、速い、本当の理由(@IT)
http://www.atmarkit.co.jp/ait/articles/1311/01/news123.html
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- @ITの筆者陣も登場、「訴訟」や「まとめ」を通して見たサイバー世界
@IT主催のセキュリティセミナー、リポート第1弾はスポンサーセッションの内容とともに、@ITの人気筆者陣による講演をお送りしよう。 - インターポールも動く――「僕らの眠り」を妨げるものを駆逐せよ!
@IT主催のセキュリティセミナーリポート第2弾は、@IT筆者陣が登場したパネルディスカッションやインターポールの取り組み、そしてスポンサーセッションの様子をお送りしよう。