今回のジョーシス ラーニングのテーマは「AWSセキュリティ課題の対応方法」です。大手企業をはじめ数々のアドテク企業でプロダクトインフラのマネージャーを歴任された、川崎雄太さん（株式会社ココナラ 情報システムグループ Group Manager）に、AWSセキュリティ課題の対応方法を解説していただきました。

前編では、SIEMを活用したログ分析方法について、ココナラが上場前に抱えていた課題や、セキュリティ対策の進め方について紹介いたしました。そして後編では、ラクスル取締役CTOを兼務する泉とのディスカッションや、読者からいただいたQ&Aを中心に解説します。

＜スピーカー＞
川崎 雄太｜株式会社ココナラ 情報システムグループ Group Manager

上場準備のため”だけ”にさせない体制構築に向けて、何に苦労したか？それを乗り越えるポイントは？

――　セキュリティソリューションは入れて終わりではなく、その後の運用が大事であるというお話もありましたが、上場準備のため”だけ”にさせないために体制構築に向けて、苦労されたことや、それを乗り越えるためにどのようなことを意識されたのでしょうか。

川崎さん：上場企業に良くある話だと思いますが、「上場がゴール」になってしまうと大変ですね。そういう当社も上場がゴールになっていたこともあり、上場後の運用を深く考えないまま体制構築をしてしまった部分がありました。

加えて、上場後にどんなことが起きるか予測が難しかったということもありますね。その結果、想定外の事態などが発生してしまい、体制の見直しを含めた調整が必要になりました。こうした状況を乗り越えたポイントとしては、大きく2つあると考えています。

1つ目は、シミュレーションを徹底的に行なったことです。とりわけ情シス領域は上場前に比べて上場後は、社内の期待値が高まったり、外部からの攻撃が増えたりするので、常にモニタリングをしながらどういった運用が適切なのかシミュレーションを重ねることが大事だと感じていますね。

2つ目は、「ロードマップ」を立てたことです。ココナラでは「3カ年ロードマップ」を策定して、3年後にあるべき未来を予測しながら、1年目にやるべきこと、2年目にやるべきことといったようにマイルストーン化して順次対応していきました。

どちらのポイントにも共通しますが、行き当たりばったりではなく、自分たちが目指す方向を見失わずに、常に軌道修正をしながら進むことが重要だと感じています。

泉：シミュレーションとは具体的にどういった形で進められたのでしょうか？

川崎さん：情シスの業務においては、「社員数」は重要なキーワードだと思いますが、当社の場合では社員1名あたりに対して、情シス領域の業務がどれくらいあるか試算することから始めました。

例えば、社員数が200名の時、300名の時、といったように社員数ごとに試算していき、将来の採用計画に基づいて、情シス部門にどれくらい人が必要なのかを工数ベースで落とし込みました。

もう1つは、将来的に発生しうるセキュリティリスクへの対応にかかる工数に対し、今の人数で足りるのか、増やす場合どれくらいの人数が必要なのかといった点について、リスクマネジメントの観点でシミュレーションを繰り返し行いました。

泉：情シス領域のプライオリティ（優先度）の付け方としては、担当者レベルで進めていたのでしょうか。それとも経営陣も巻き込んで進めたのでしょうか。

川崎さん：それでいうと後者です。当社のCEOが「ココナラの足固めとして、最も強化していくべきなのはセキュリティだ」と明言してくださったのが大きかったですね。

そのため、「こういうリスクのときは、どういった影響が起こり得るか」を常にディスカッションさせていただいたので、プライオリティに関しても明確になりました。

――　ココナラでは上場に向けてセキュリティ体制を強化されていったわけですが、上場前の段階ではセキュリティ課題に着手しようという議論はされていたのでしょうか？

川崎さん：私が入社する以前にはなりますが、話を聞くところでは積極的に議論はされていなかったようです。しかしながら、上場を目指す上で急ピッチで整備しなければなりませんし、長期的に見ても整備が必要であることは明白でした。まずは部門メンバーにも理解してもらった上で、社内体制の整備から進めていきましたね。

AWSセキュリティやクラウド環境のリスク管理に関するさらなる実務的な知見は、クラウドセキュリティ対策とは？政府が策定したガイドラインと事例も解説の記事で詳しく解説しています。

セキュリティ対策は無限大。予算が限られる中で、社内・経営陣を巻き込んで推進するために重要なことは？

泉：予算や社内リソースが限られる中、社内のメンバーや経営陣を巻き込んで推進するに当たって、意識されたことがありましたらお聞かせください。

川崎さん：まずは、「ココナラのセキュリティの状態はどうなのか？」といったところを、しっかりと俯瞰して評価することがファーストステップだと考えました。その評価の結果を良い面も悪い面も含めて可視化し、その事実を経営層に正しく認識してもらうためにディスカッションを重ねました。

しかしながら、問題点がわかっても具体的にどのように改善していけば良いかわからないといったように次の課題が生じました。そこで、先ほどお伝えした3カ年ロードマップを活用して、どこに投資すべきなのかを整理したり、セキュリティリスクが大きい部分を優先的に取り組んだりしました。

このようなことから、経営陣を巻き込んでセキュリティ対策を進めるためには、まずは定量的に説明できる準備をして、経営層が意思決定しやすい状態を作ることが重要だと、改めて感じましたね。

泉：経営層に定量的に説明する上で、意識したポイントなど具体的にありますか？例えば何かフォーマットを使用したなどがあれば教えてください。

川崎さん：経営層はROI（投資利益率）を気にしますが、セキュリティ領域に関してはROIだけでは論じづらい部分があるのも事実です。そこで、インシデントが起きたときに復旧にどれくらいコストがかかるかを試算して、それを発生するリスクと天秤にかけて判断してもらいました。

――　インシデント対応費の見積もりはどのように行われたのでしょうか？

川崎さん：単純に算数でやっていましたね。具体的には、ユーザーの個人情報漏洩といったインシデントが発生したと仮定した場合、漏洩した件数に対して、過去にユーザーに補填していた企業の事例を探して、その時の費用をかけ算しました。

例えば、ココナラは296万人のユーザーがいますが、その内10％の個人情報が漏れたと仮定した場合の補填にかかる費用はどれくらいになるかを試算しました。その他にも、個人情報漏洩が発生した場合は、レピュテーションリスク（※1）による損失もあるはずなので、それらを鑑みてセキュリティ対策費と天秤にかけてもらいましたね。

※1：悪評や風評の拡大によって企業評価が下がり、経営に支障が出る危険性のこと

泉：一時的にかかる費用だけではなく、レピュテーションリスクのような副次的に発生するリスクまで広げて試算することが大事ということですね。

川崎さん：仰るとおりですね。発生する確率そのものまでは予測が難しいのですが、万が一でも発生した場合の損害を考慮して投資判断をいただくことが重要かと思います。不安を煽るわけではありませんが、やはり定量的に説明することで理解が得られやすくなります。

――　ココナラでは、経営陣がセキュリティ対策費を「投資」として判断いただいたところが大きかったと思いますが、世の中の多くの企業はまだまだ「コスト」ととらえている面も少なくありません。例えば川崎さんが、「セキュリティ対策費はコスト」だと考えている上司のもとで働くとなったら、どのように説得すれば良いか、イメージはありますか。

川崎さん：前提としては数字を使って説明しますが、それ以外には社外のインシデント事例を使うと思いますね。近年、企業のインシデントは大小かかわらず常に発生しています。そうした事例を見せることで「対岸の火事ではない」ことを理解してもらうことが、非常に重要だと考えています。

実際に私も社外のインシデント事例を集めて、「ココナラではこの対策できているだろうか」「これは自分たちでも起きうるよね」といったものをピックアップして、経営層にレポートを提出するなどしています。やはり、常日頃から経営層や上司に対して、当事者意識を持ってもらうために働きかけることが重要だと感じています。

泉さん：なるほど。経営層を不安にさせるとかではなく、あくまでも正しい危機感を持ってもらうために、社外事例や時事ネタを活用するのは有効な手段ですね。

川崎さん：仰るとおりですね。もちろん他社事例に限らず、社内でもヒヤリハットの事例などはいくらでもあると思います。ヒヤリハットで済んだから良かったけれど、一歩間違えたら大事故につながりかねなかったようなことは、みんなで振り返ることが大事だと思いますね。

経営陣を巻き込んで効果的なセキュリティ対策を推進するための具体的な方法については、上司･経営者に信頼される情シスになるためのコミュニケーション術～信頼を得るためのアクションや信頼につながらないダメなコミュニケーションとは～（前編）の記事も参考にしてください。

QAセッション

ディスカッションパート後半では、読者からいただいたQAにも回答いただきました。

ログ分析チームの1日の動きを教えてください

――　ログ分析は常に張り付いているイメージなのでしょうか。それとも基本的には定時のタイミングでの確認のみで対応されているのでしょうか？

川崎さん：何かインシデントが発生すれば、Slackにアラートが通知されるようになっているので、特段何も起きなければ基本的には17時の定点確認のみですね。

その他には、施策をリリースした際に一時的にアクセスが増えてアラートが通知される可能性があるので、セキュリティ領域に関連しない部分でも全体の動きを見ながらログを確認しています。ですので、結論としては常に張り付いてログをチェックしているわけではありません。

運用や分析フェーズで外部委託を検討されたりしましたか？

川崎さん：ココナラでは、運用も分析もすべて内製化しています。AWS側が定例会でかなり深いところまでコミットしてくれているというのもありますし、ツールの活用がうまくいっていることもあって、現状では自前で運用できる状態です。

そのため、現状としてはわざわざ外部に委託する必要性を感じていないのが正直なところですね。

泉：内製化を進める上で、ファーストステップとしてチェックリストを使って現状を可視化するというお話がありましたが、その際に活用されたチェックリストは何をもとに作成されたのでしょうか。

川崎さん：IPA（情報処理推進機構）の資料であったり、NIST（米国標準技術研究所）の資料であったりといったものを参考にしました。どのように分類するのが効果的なのかといったものを試行錯誤しながら、ココナラの仕様にあわせていきました。

――　本日は非常に中身の濃い内容をお話いただき大変ありがとうございました。

まとめ

今回の「ジョーシス ラーニング」では、大手企業をはじめ数々のアドテク企業でプロダクトインフラのグループマネージャーを歴任してきた川崎さんをお招きし、AWSセキュリティ課題の対応方法について実例を交えて解説いただきました。

川崎さんからもお話しいただいたとおり、効果的なセキュリティ対策は自社の現状を正確に把握することが第一歩です。

例えば、社内のIT資産（SaaS・デバイス）は、誰が、何を、どんな権限で持っているかを整理することも大切です。そもそも情シス部門の担当者が認知していないSaaSやアカウントが社内に存在している場合、適切な対処ができません。

これらの全数把握を簡単にできるのが「ジョーシス」です。100以上のアプリと簡単にAPI連携でき、シャドーITも検知も可能なため、情報漏えい防止にもつながります。自社のセキュリティ対策の最初のステップとして、ジョーシスを活用してみてはいかがでしょうか。

ジョーシス ラーニングでは、今後も各社のベストプラクティスや最新のサービス・テクノロジー紹介など、お役立ちコンテンツをお届けしていきます。

【前編はこちら】