ガートナージャパン は7月24日~26日、年次カンファレンス「ガートナー セキュリティ&リスク・マネジメント サミット」を開催した。その中から本稿では、ソニー・ミュージックエンタテインメント デジタルトラスト本部 田代雄亮氏によるエグゼクティブ・ストーリー「ソニーミュージックグループのセキュリティイニシアチブ~1400を超えるWebサイトのセキュリティ確保」の内容をレポートする。
-
ソニー・ミュージックエンタテインメント デジタルトラスト本部 田代雄亮氏
親会社とセキュリティポリシーが合わない!?
田代氏はまず、ソニーグループのビジネス環境について説明した。ソニーグループにはゲームやセンシング・ソリューション、金融など、多種多様な事業セグメントがあり、同氏が所属するソニー・ミュージックエンタテインメントは音楽事業セグメントにあたる。
ソニー・ミュージックエンタテインメントが統括するソニーミュージックグループを見ると、グループ会社は約20社あり、それらが所持するWebサイトの数は合わせて1400以上。イベントごとに新たなサイトを立ち上げるため、年々右肩上がりに増えていく。これらのWebサイトのほとんどはAWSをプラットフォームとしている。田代氏によると、スピード感あるソリューションが求められるエンタメビジネスとクラウドサービスの相性は非常に良いそうだ。
一方、ソニーグループ自体はどうか。そもそもは、製造業を主事業として設立された企業だ。 セキュリティガバナンスも製造業をベースに考えるところから始まっており、「エンタメとは顧客も、守るべき情報も大きく異なる」と言う。
「そのため、ソニーミュージックグループ独自のセキュリティガバナンスが必要で、自分たちでやらざるを得なかったのです」(田代氏)
3本柱で進めたセキュリティ強化
では、田代氏らはセキュリティ強化のため、どのような取り組みを行ってきたのか。同氏が挙げたのは「SMEJ Guardrail」「SIEM」「Security Guideline」の3本柱である。
従来、ソニーミュージックグループでは各社・各部門においてセキュリティへの意識や対策にばらつきがあるため、一定のセキュリティを確保することが難しいという課題があった。そこでまず取り組んだのがSMEJ Guardrailだ。これは事故が起きたとしても大きな事故にならないように“ガードレール”をつくるイメージで、具体的には、「最初からセキュリティ対応済のクラウドサービスアカウントを事業部に渡す」ことだと田代氏は説明する。
また、多くのWebサイトがAWSをベースとしているため、「AWSのセキュリティを確保するのが第一の課題」だと考えた同氏らは、Webサイトのセキュリティの設定検知 やログ収集、違反設定の自動修復などの機能を実装した。SMEJ Guardrail導入当初はAWSのセキュリティスコアが2~3%だったというが、泥臭い取り組みを続けた結果、現在は独自の計算方式による準拠率では75~81%という数値を出している。「ガードレールの中で、アクセル全開でビジネスを推進する環境がつくれている」と田代氏は力を込めた。
SIEM(Security Information and Event Management)の検知・分析にも力を入れている。そこにあるのは、一度起きたインシデントを二度と起こさないようにするという強い意思だ。日本だけでなく海外リージョンでのインスタンス起動検知など、独自の検知も行うことで、「インシデントが起きるたびにセキュリティが強化される」(田代氏)体制を整えた。
これらの取り組みは内製で開発・運用を行っている。その結果ノウハウが蓄積し、検知項目を増やす、結果分析、フィードバック、ポリシーアップデートというサイクルをより早く回すことができ、「よりセキュアになっていく」(田代氏)という。
その中から生まれたのが「SMEJ Security Guideline for AWS」である。ソニーグループのセキュリティポリシーやその他ドキュメントなど542ページ以上あった複数のドキュメント類を約263ページにした上、「初心者マーク」「必須マーク」などを付け、ドキュメントに対する苦手意識がある人にも読んでもらえる工夫を凝らしている。
5名の“素人”から始まった組織はどうやって成長したのか
この3本柱を実現するために重要なのが組織である。2019年の組織組成当時は、セキュリティを担当するメンバーは約5名で、事業部経験者を配置したため、セキュリティについては「ほぼ素人」(田代氏)の集まりだった。2021年、メンバーは11名になり、そのうちの一部がセキュリティやクラウドなどに関する資格・認定を所持するようになったと同氏は振り返る。2024年の現在は31名のメンバーのほぼ全員が何らかの資格・認定を所持しているという。
このような人材育成を行う発端になったのは、「人ない、金ない、時間ない」という運転初心者(素人)が、「早い、安い、より満足」というF1レーサー(プロフェッショナル)になるためには、外部に丸投げするのではなく、「自分で運転すべき」だというガートナーの提言だったと田代氏は話した。
「組織の立ち上げ時は本当に(知識)ゼロ」(田代氏)だった同組織は、体系的な学習によるスキルアップ、そのスキルを活かした内製での開発・運用を経て、さらなるセキュリティの強化施策に取り組める組織に成長した。さらに組織の成長にあわせ、新たな人材の育成計画にも着手。彼らがスキルアップし、内製で開発・運用をし……というサイクルをつくりあげたのだ。
現在、デジタルトラスト本部には「ポリシー&ガバナンス」「SOC/SIRT」「ウェブガバナンス」「CCoE」「セキュリティ戦略」という担当分けがある。ウェブガバナンスがあることについて田代氏は、「当社の場合、Webサイトを重要資産として管理するため」とその理由を説明。「業界・業種に応じて、重要な資産を管理することが大切」だと続けた。
ここまで組織について語った同氏はまとめとして、「組織内にCCoEをつくる」「セキュリティ運用を内製で行う」「業態に応じたアセットマネジメントを行う」という3点を強調し、これが「運用で起きた出来事に即座にフィードバック・改修が可能な体制」だとした。
デジタルトラスト本部はソニーグループ内でセキュリティに関する賞を受賞、海外でのセキュリティイベントで取り上げられるなど、その成果が着実に実っている。
「組織を立ち上げた直後、よく上司と『セキュリティを世界レベルにしたいよね』と話していました。当初夢見ていた世界レベルに追い付きつつあるのかなという実感を持っています」(田代氏)
同氏は、今後のビジョンとして「AI活用」「内製強化」「マルチクラウド」「人の強化」の4つを示した。AIに関しては、人材確保が難しい今、人を増やさずに業務を効率化するために必要だと考えているという。一方で、「情報が漏れるのは人からが多い」ことから、「人の強化も中長期でやっていきたい」と語った。
最後に田代氏は「人ない、金ない、時間ない」状態から「早い、安い、より満足」に到達するためのポイントを4つ示した。
そして聴講者へ「ゼロからスタートできます。それと、セキュリティはバランス。厳しくするのは簡単だが、ビジネスの足かせになってはならない」とメッセージを送り、講演を締めくくった。
ラック、KDDIデジタルセキュリティと10月1日付で合併
