古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

DeNAに聞く、事業スピードを落とさないセキュリティの進め方

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2016/12/04
DeNAに聞く、事業スピードを落とさないセキュリティの進め方: DeNAはWebサイトの情報セキュリティに関するページでDeNA CERTの位置付けや活動内容などについて公表している © ITmedia エンタープライズ 提供 DeNAはWebサイトの情報セキュリティに関するページでDeNA CERTの位置付けや活動内容などについて公表している

 インターネットサービス大手のディー・エヌ・エー(DeNA)は、ゲームやeコマース、オークションなど多種多様な事業を手掛ける。オンラインビジネスでは新しい取り組みや変化のスピードが必須であり、同時に利用者の情報をセキュリティの脅威から守らないといけない。同社は2011年に、オンラインサービスの品質向上と情報セキュリティ対策の両面を担う「DeNA CERT」(DeNA Computer Emergency Response Team)を設立している。

●CSIRTに至るタイミング

 DeNA CERTの設立が検討された2011年前後は、それまで同社の成長を支えていた携帯電話(ガラケー)市場が、iPhone人気を皮切りにスマートフォンへシフトし始めた時期にあたる。これに合わせて国内がメインだったオンラインサービスの海外展開に注力していく。この時にビジネスリスクとして懸念されたのが、サイバー攻撃などの脅威だ。

 「スマートフォンの脅威について議論を重ねていた頃、海外の企業でサイバー攻撃による大規模な個人情報の漏えい事故が発生し、セキュリティ状況の把握や対策の強化を急ぎました」(システム本部 セキュリティ部 セキュリティ推進グループ グループリーダー の渡辺文恵さん)

 渡辺さんにとって印象に残る出来事が、2011年4月に米国で発生したSony Computer Entertainment(現Sony Interactive Entertainment)のオンラインゲームサービス「PlayStation Network」に対する不正アクセスだったという。この事件では数千万ユーザーの個人情報が漏えいしており、オンラインサービスのグローバル化を検討していたDeNAにとって、決して“対岸の火事”ではない出来事だったようだ。

 この頃、同社のセキュリティ対策は都度講じていく状況だったという。渡辺さんはサービスの品質管理に携わっており、セキュリティの業務も所属部署の範囲が中心だった。「情報システム部門やITインフラの部門などがそれぞれに対策を担っていましたが、ネットワーク責任者(現セキュリティ部長の茂岩祐樹さん)が、組織横断的に取り組む必要性を感じてCSIRTの立ち上げを準備しました」(渡辺さん)

 一方でCSIRTとは別に、同時期に社内の情報セキュリティについて検討する「セキュリティ対策ミーティング」が発足した。渡辺さんは品質管理部門の立場からセキュリティポリシーやルールの作成にあたっていたが、「いざ実行するとなると、自分たちができることは限られますので、技術部門や人事、法務などあらゆる部門の協力が不可欠でした。各部門にミーティングへの参加を呼び掛け、セキュリティ対策を考えるタスクフォースとして活動するようになりました」という。

 そこで、CSIRTの設立とセキュリティ対策ミーティングの活動が一体化され、DeNA CERTの原型となる組織横断型の情報セキュリティのチームができあがった。

 同社は、2014年にセキュリティポリシーをグローバル共通のものへ全面的に改定。この時、DeNA CERTが全社の情報セキュリティ委員会の直下で対策を担う体制としてポリシーの中で定義され、立場や活動の目的、内容、体制などが明文化された。併せてセキュリティ部が新設され、コンプライアンス部門の法務やリスク管理、情報システム部門などの担当者などもCSIRTのメンバーに加わった。

 「実際の体制が多く変わったわけではありませんが、セキュリティポリシーの見直しを2013年から進めていく過程では各部署の協力が欠かせませんでした」(渡辺さん)

 例えば、リスク管理部門では同社における危機管理の全体を所管しており、有事における対応フローなどを整備している。ITや情報セキュリティにかかわるインシデントが発生した場合、連絡先や対応部門がバラバラでは適切に行動できない。これらのインシデントの対応もリスク管理部が定めるフローに合わせ、組織横断でDeNA CERTが対応していく体制が確立されることとなった。

●セキュリティの悩み事はCSIRTに

 セキュリティポリシーでその存在が明確になったDeNA CERTは、全社の情報セキュリティの窓口として、さまざまな課題に対応していく。「『このサービスは利用できる?』『機密情報はどこに保管すれば?』といったような、どんな相談事にも応じてきました」(渡辺さん)

 DeNA CERTは、社内からの相談へ地道な対応を重ねてきたことで、2014年は年間10件ほどだった相談が2015年には倍増し、いまでは月間50件近くも寄れられる同社にとって欠かせない存在になった。

 相談に対応するセキュリティ部の平田千幸さんは、「DeNA CERTに相談してよかったと感じてもらえるサポートを心掛けています。現在は新規のビジネスに関わる大きな相談も寄せてもらえるようになり、社内から頼られる存在を目指しています」と話す。

 相談内容はさまざまだが、例えば、「クラウドサービスを利用して外部企業との情報共有を効率化したい」といった相談では、相談者が検討中のツールやサービスについてセキュリティを検証した上で、安全な使い方を分かりやすくアドバイスする。事業部門はビジネスのスピードを重視しているため、彼らが魅力的だと感じるツールやサービスの利用を原則的に禁止するような対応では、結果的に密かに使われかねず、セキュリティリスクが高まるためだという。

 「相談相手を待たせて『DeNA CERTは遅い』と思われてしまえば、勝手に使われてしまう恐れがありますので、相談から基本3営業日以内に解決することを指標にしています。簡単な対応なら当日中に解決し、長期化が予想される場合は相談者とコミュニケーションをとりながら目標時点を調整しています」(平田さん)という。そのため、確認時のポイントをまとめたチェックシートを分かりやすく改訂したり、解説をより分かりやすくしたりするなど、常に改善を図っている。

 平時におけるDeNA CERTの活動は、社員への相談対応のほか、セキュリティの教育や啓発、インシデント対応の評価および改善施策、サービスの設計・開発におけるセキュリティ面での助言や脆弱性診断など、組織面から技術面まで非常に幅広い。

 特に脆弱性診断は、外部に委託せず同社のエンジニアが担当して、セキュリティ対策がサービスの開発スケジュールに影響を与えないよう実施しているという。最近ではサイバー攻撃などが疑われる異常の検知やログの調査なども推進し、インシデントへの備えを強化しているという。

 インシデントに対しては、内容に応じた危機レベルと、レベルに合わせたエスカレーションと対応フローが設定されており、それに基づいて処理される。原則としてインシデントが発生した部署が対応での実作業を主導する。ただし部署の担当者が不慣れな場合や部署内で担当者がなかなか決まらないなどのケースでは、調整役として参加し、担当者のアサインや作業内容の打ち合わせをうながすといったサポートを提供している。

 インシデントの報告はDeNA CERTに集約され、内容や対応状況などの情報をメンバー間で共有している。情報をインシデント発生部署だけにとどめないようにすることで、別の部署で同様のインシデントが発生しても、スムーズに解決へつなげられることが期待される。

●内外との連携がセキュリティの強化に

 DeNA CERTの活動では、外部の企業CSIRTや各種コミュニティーとの連携も重要なものになっている。管理部門や技術部門などメンバーによって関わり先はそれぞれだが、チーム内では各人がそれぞれにセキュリティ対策のヒントや脅威動向などの情報を共有し、セキュリティを強化していくための検討に役立てているという。

 渡辺さんの場合は、DeNA CERTとして参加する日本シーサート協議会(NCA)での地区活動タスクフォースが中心だ。国内ではCSIRTの設立や立ち上げを検討する企業が急増しており、渡辺さんはNCAのメンバーとして全国各地で説明会の企画や運営に携わっている。

 「CSIRTの活動では社内だけでなく外部との窓口を持つことが重要です。外部の方との情報交換を通じて得たヒントを社内の対策に生かしたり、逆にアドバイスをすることで役立てていただいたりするほか、セキュリティに対する考え方なども知ることができます。社内にいるだけでは孤独ですから……」(渡辺さん)

 昨今は、多くの企業や組織で情報セキュリティの強化が叫ばれ、セキュリティ担当者も技術系部門ばかりではなく、管理部門や事業部門などにも広がっているという。渡辺さんは管理部門に所属するため、NCAでの活動がセキュリティの視野を広げる意味でも大きな刺激になっているという。同社ではこうした活動への参加を推奨しているとのことだ。

 国内でCSIRTが本格的に誕生したのは2000年代前半のこと(NCA設立は2006年)。当初の増加ペースは年間数チームほどだったが、いまでは1カ月で十数チームが設立されるほどの状況にある。新興CSIRTの多くが体制や活動の進め方など多くの悩みを抱える。

 渡辺さんは、「CSIRTの形は会社によって全く違います。まず目前のセキュリティ課題の解決に取り組み、次にどうすべきかを判断することもあります。そのためには情報交換を通じて自社の状況を理解することも大切だと思います」と話す。企業ごとに形態が異なってもCSIRTには、情報セキュリティを高めていくという共通の目標があり、「一緒にがんばる仲間ですね」(渡辺さん)という。

 今後のDeNA CERTとしての目標は、社員が都度相談をしなくても自らセキュリティを意識して仕事に取り組める環境の実現だ。「相談をやめるわけではありませんが、自律的にセキュリティを高めていける会社にしたいですね。その方が当社のビジネススピードをもっと速めることができるはずです」(平田さん)

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon