セキュリティを強化するためには、さまざまな面からの対策が必要だ。その1つに、開発段階でセキュリティを組み込むという手法がある。

9月12日~15日に開催された「TECH+ EXPO for セキュリティ 2023」に、MIXIの執行役員 CISO セキュリティ室長を務める亀山直生氏が登壇。「MIXIセキュリティ室の戦略と施策~開発にセキュリティを組み込むために~」と題して、開発段階からセキュリティに配慮した対応を採る同社の取り組みについて話した。

3つの分類で進めるMIXIのセキュリティ戦略

MIXIはコミュニケーションを事業ドメインとし、スポーツ、ライフスタイル、デジタルエンターテインメントなどの事業領域を持つ企業だ。リモートワークとオフィスでの勤務を融合した「マーブルワークスタイル」制度を導入するなど、従業員向けの取り組みも積極的に行っている。

そんな同社はセキュリティにおいて、「トリアージ」「抽象度を下げる」「課題の拾い上げ」「事故の早期ケア」という4つのポイントを重視しているという。

  • セキュリティ運用でMIXIが重視していること

この考えの下、MIXIではアタックサーフェスを「自社サービス」(対策の主体:事業部門)、「社内システム」(同:社内システム部門)、「人間」(同:各人・各部)の3つに分類して戦略を立てている。

自社サービスについては、公開が前提となるため、公開部分については攻撃や脆弱性の対策を重視している。一方の非公開部分についてはアクセス自体をブロックする施策、認証の強化などを行っている。

社内システムについては、「マーブルワークスタイル」を支援するエンドポイントの強化が中心だ。加えて、IPAが喚起するフィッシングなどの大きな脅威について補助する取り組みも進めている。

そして、人間については、フィッシングなどの情報セキュリティ教育、いわば護身術の習得が中心となる。事故発生やその疑いがあるときには報告するよう、繰り返し伝えていると亀山氏は説明する。

「どの領域でも、教育啓発や、チェックに力を入れています」(亀山氏)

SNSでも話題を呼んだ新卒エンジニア研修の裏側

亀山氏が所属するセキュリティ室では、各領域に対して数多くの支援を行っている。講演では、開発段階に関わる「新卒エンジニア研修」と「IaaS監視」が紹介された。

同社の新卒エンジニア研修は、多くの研修資料がWeb上で公開されている。SNSでその丁寧かつ重厚なカリキュラムが話題を呼んだのも記憶に新しい。計300ページ以上にも及ぶ資料を用いる研修の中から、亀山氏は情報セキュリティ、インシデントハンドリングの2つについて詳細を解説した。

情報セキュリティでは、システム開発において必要になる情報セキュリティ対策を中心に、2日間の研修を行っている。「興味を持って取り組んでもらうことが重要」だという考えから、ハンズオンを多く取り入れていると言う。研修の内容は、セキュアな環境で開発を行うことや、仮想のサイトに攻撃をしてみることで脆弱性の原理が学べる構成となっているそうだ。

インシデントハンドリングでは、CSIRT(Computer Security Incident Response Team)がインシデントハンドリング担当者向けに行っていた研修を土台にしたものが採用されている。研修は合計4時間。万が一の際に慌てず対応できるようにすることを目的にしており、インシデント発生時のフローを学ぶ。

研修の運用方法についても工夫している。例えば、これまでは講師が企画、法務、エンジニアなどの役を演じながら実施していたが、今年からはGPT-4を使ったSlackbotに置き換えた。これにより講師の負担が減り、アドバイスや演習後のフィードバックに集中できるようになったことで、「研修の質が向上し、効率化につながった」と亀山氏は語る。

  • 研修で導入されているGPT-4を組み込んだbot

IaaS監視では監視の効率化と強化を重視

IaaS監視では、同社が導入しているAWS(Amazon Web Services)とGCP(Google Cloud Platform)を対象に、設定不備や侵害検知などへの対策をセキュリティ室で行っている。

亀山氏はまず、AWSの監視について紹介した。AWSは約50以上のアカウントあり、事業部側で監視しているケースもあるが、現状は開発本部のアカウント作成フローに組み込んで、監視している。監視のため、監査ログの「AWS CloudTrail」、異常なアクティビティ検出の「AWS CloudTrail Insights」、脅威検出の「Amazon GuardDuty」のほか、オープンソースの設定監視ツールも導入しており、これらの内容をAmazon S3に集約して、自分たちの監視基盤でチェックするという体制だ。

  • AWS環境下における監視設定図

100以上のプロジェクトを動かしているGCPでは、設定の監視と脅威の検知を行う「Security Command Center」を中心に、内製のリソース収集ツールを組み合わせている。

監視全体で目指すのは「監視の効率化と強化」だと亀山氏は強調する。そのためにアラートの集約管理を行う内製監視システムをAWS上に構築。これにより、アラートの通知を自分たちで評価したり、AWS/GCPのアラートの集約管理を実現し、対応状況の管理、対応履歴の記録、アラートの調査をしたりすることが可能になっている。システムの名称は「Irene」、平和を司る女神の名前だ。

これらの取り組みを紹介した後、同氏は「DevSecOpsとしてやっているわけではないが、考え方として共通する部分がある」と述べた。

なお、「ChatGPTに聞いてみた」と前置きした上で、DevSecOpsの定義として亀山氏が挙げたポイントは下記の5つだ。

  • セキュリティの設計段階から考慮する
  • 自動化や統合ツールを使用する
  • 継続的なセキュリティ監視と改善
  • セキュリティ文化の育成
  • フィードバックと学習の繰り返し

DevSecOpsに関しては、「自動化やCI/CDのパイプラインが重視される傾向があるが、その前段階の教育啓発や継続的なチェックも重要」だと亀山氏は考えているという。MIXIでは、自動化については模索中であるものの、教育・設計・監視・改善を重視する考えは共通しているそうだ。

開発段階におけるセキュリティを重視するための取り組みを紹介した亀山氏は最後に、「これらの取り組みを何かのヒントや、良き議論の種にしていただければ」と話し、講演を締めくくった。