パイプドビッツは、「情報資産の銀行」を事業コンセプトに、情報資産プラットフォーム「SPIRAL®」シリーズを開発し提供してきました。同社には、セキュリティガバナンス、開発、運用、セキュリティの責任者から成る、セキュリティチームがあります。インシデント経験から、大きくカルチャーが変わっていくこととなりました。
その模様をお聞きしたインタビュー「情報資産の銀行」を支えるパイプドビッツ・セキュリティチーム [前編]」に続き、本記事では、同社がシフトレフトを実践していくに至る変化の過程について掘り下げていきます。
進化する「レビュー」と、脆弱性が繰り返されない仕組みへの成長
岡田:まず、開発プロセスの中にセキュリティの「レビュー会」が組み込まれましたね。
横山:そうですね。ただ、レビューというのは、どうしてもレビューする人のスキルや観点に依存するところが結構大きい、属人的なところがあるかなと思うんです。それに対して、セキュリティチームとしてレビューをして開発チームにフィードバックすることによって、「こういう観点が弱いんじゃないか」と指摘できます。
また、繰り返し出てきている脆弱性があれば「チェック観点リスト」に追加してもらって、レビュー前にチェックしてもらい、リストにある観点についてはふるい落された形で次のレビューに行けるようにしてもらっています。
岡田:結構、開発に入り込んでいますね。
横山:場合によっては使っているプロダクトのフレームワークに指摘した点を組み込んでもらって、仕組みで守り、同じ問題が繰り返されない形にしてもらったりもしています。
今は、アスタリスク・リサーチのセキュリティ・マネージド・サービスがありますから、セキュリティ診断をかなり計画的に実行できます。大事なのは、どう効率的に回していくか、そして、いかに開発プロセスの中に組み込んでいくか、です。開発サイクル全体がよりセキュアに、かつよりスムーズに回す方向で考えてきて、年々、着実に改善していると感じています。
鈴木:昔、岡田さんからアドバイス頂いたことの中に、「機能を作っていく段階で、どこまでセキュリティを高めればいいのかというのは、レベルを3段階ぐらいに分けて考えられたらいいよね」というものがあったんです。例えば「ログイン認証が一番肝なので、ここはセキュリティレベル3で行こう」というような。
岡田:リスクに従って濃淡をつけるということですね。
鈴木:はい。アドバイス頂いた当時は、その濃淡をつけることが難しかったんですけど、最近になって、そういう考え方ができるようになり始めていて。「やっぱりこのパターンだったらセキュリティはこれぐらいのレベルじゃないか」というような議論ができるようになってきました。
岡田:そこにツッコミが入って、そのレビュー観点が成長したりしていくんですね。
鈴木:そうですね。単純な例ですが、「パスワードだったらこのレベルでいこう」というのを、会社のルールとして、セキュリティチームがが今作っているチェックシートに反映していただき、「パスワード」という仕様があったら、まずは「これを満たしていますか」とチェックシートを確認してもらって終わるような、ルーチンにちょっとずつ、ちょっとずつ変えていっています。
岡田:機能、開発のための共通パーツと言えるようなものが、粒が揃ってきた、ということかもしれませんね。
志賀:レビューも、繰り返しやることで質が高まっているということもあると思います。最初はレビューを受ける側も特に準備せず持ってきて、レビューする側は「これはこうじゃないか」という問題提起のようなアプローチでフィードバックしていたんですが、それを繰り返していくことで、持ち込む側も徐々に自分たちになりに考えて「こう考えたので、こういうふうに対策してみたが、どうか」と持ってくる。
鈴木:今は、セキュリティレビューしてもらうためには、セキュリティに気を付けたポイントを分かりやすくフロー図化したり、設計書に明確に起こすことが必須なんですよ。エンジニアも自分で意識して資料を作ってくるので、資料の質はだんだん上がっていると思います。
志賀:それに対して、「確かにそうだよね」「やりすぎじゃないか」「いや、もう少し強化しましょうよ」と、相互にブラッシュアップしていく場になっていると思います。
岡田:それは嬉しいですね。システムコンポーネント図や、そこで何が行われているかのインプット/アウトプットのフローが無いところって、結構たくさんあると思うんですよ。面倒でも描いてみることによって、内部矛盾に気付けたりしますよね。
志賀:更に、このレビューの結果を暗黙の了解にするのではなくて、形式知にしていくことで、新人でも同じスタートラインを切れるようにしていく。そういう工夫が、いろんなところから意見が出てくるようになりました。
“あるべき姿”を認識しながら、具体的な行動実践を議論する
岡田:僕がこのセキュリティチームをすごいなと思うのは、みなさんパイプドビッツを本当に愛していますよね。普通、大きなインシデントが起こると投げ出したくなるもんじゃないですか。「やってられるかー!」というような。「ほらみたことか!」「とか、かねがね言ってたことをやってなかったからだ!」と怒ってしまったり。
インシデント対応そのものが、目の前にそびえ立つあまりにも険しすぎる山となると、「この先登るのはもうキツすぎる」という気持ちになります。責任を負い切れないよ、と。でも、志賀さん中心に、それぞれの立ち位置にかっちりコミットし、改善され続けていますよね。
志賀:そうですね…インシデントが起きた際には「このまま続けて自分自身が責任を果たせるだろうか」という問いかけをするのですが、「問題が起きた時に辞めることは、責任を果たすことじゃないよね。前を向くべきだ」って言われるんです。
岡田:ところで、過去のインシデントの直後に、背景を色々と調べていく中で、SAMMを使ってセキュリティに関するスコアリングをやりましたよね。「今の取り組みでは、ここはこういうレベルまでは実践しているが、ここは至急改善が必要」などと、実践状況を数値化して概観するために実施しました。ですが、今思い返せば、当時、納得感はどうでしたか?
志賀:当時は、社内でいろいろな人を巻き込んで次のステップに取り組んでいかなければならなかったので、自分達自身でまずは現状把握をしないといけなかった。ただ、アクションの拠り所とするような基準がなかったんですね。それでやってみようということになりましたね。薄々みんな「ここをもっと改善しなきゃ」と漠然と思っていたことはあったんですが、それが目の前にレーダーチャートとして突きつけられると、やはり重みが違いましたね。
あと、SAMMの「インタビュー」に答えていく中で、そこには課題や問題点が文章になっているので、みんな共通の認識で議論をスタートさせる、そのトリガーになったというところもありました。漠然としたものをちゃんと形にして、“あるべき姿”を徐々にはっきりさせながら、今ある状況に対して現実解として、どんな改善策を見出して具体的な行動実践をするか、という思考に至るきっかけになりました。
岡田:SAMMはもちろん、一般にフレームワークは「たかがリファレンス、されどリファレンス」というところがあって、型にはめることが目的ではないですね。そういうところが本末転倒にならないようにしなければ意味がない。得点かせぎだけを頑張れば、セキュアなものが作れるようになっていくかというと、そうではないんですよね。
志賀:当時は本当に必死でした。当時、そこまで戦略的に考えてやれていなかったかもしれませんが(笑)、今となっては成熟度を測る良いバロメータになっていると思います。
お客様と作り上げるSPIRAL®、セキュリティも一緒に
岡田:では最後に「パイプドビッツはこれからこうなって欲しい」という思いについてお聞かせいただけますか?
横山:私は、もう少しこれから、直接のお客様以外のところでも「パイプドビッツ」とか「SPIRAL®」って単語を聞けるように頑張っていきたいですね(笑)。
岡田:もうそうなってきていると思いますけど(笑)。よくお見かけしますし、お聞きしますよ。もっと使っていただきたい、ということですね。
引地:お客様にサービスをきちんと提供して、満足していただくのが一番かなと思います。いかにサービスを落とさずに提供できているか、またセキュリティを安全に提供できているか、というところですね。
岡田:それは、引地さんのチームのKPIですね。だけど、最終的には顧客満足だとかお客さんがすごく使ってくれてるみたいなところに快感があるんじゃないですか?
引地:そうですね、どれくらいのトラフィックがあるか、PVがあるか、増えているなー、というのはもちろん見ますが、その増加した稼働率に耐えられるインフラを提供できている、というところが満足度に繋がると思っています。
岡田:カスタマーサクセスだとか、顧客満足ということを、インフラを支えている裏方が意識しているって、ベストですよね。これパイプドビッツのDNAというか、カルチャーですか?
鈴木:古くからやってきたメンバーは、作ったものが結構お客さんに使ってもらえる、そのユーザ数だったり規模感にやりがいを感じてくれてる人が多くて、それはありがたいですね。
岡田:ベテランがそう思っていることが大きいということですね。昨今は、エンジニアが自分の習得したい技術を選んでいて、「自分がやりたい技術が使えそうだから所属している」というスタンスを持つ人もいます。個人の成長と会社の成長とプロダクトの成長を合わせていく必要もありそうです。
鈴木:そうですね。成長し続けられるようにしたいと思っているので、今、新人が増えてきていますが、ベテランが新人に割と付きっきりになって、技術に向き合って関係性を作っているという感じです。
岡田:それは大事な取り組みですね。
岡田:志賀さんは、パイプドビッツを今後どうしていきたいですか? 多くの課題に着々と取り組んでおられますよね。私たちとのマンスリーミーティングの密度も、比較的厚めではあります(笑)。志賀さんの、目標というか、目指すものについてお聞かせください。
志賀:「SPIRAL®」は2020年で20周年なんですけど、このサービスは自分たちだけで作り上げてきたのではなくて、お客様からの要望でどんどん成長してきたという思いが強くあります。自分たち提供サイドだけではなく、SPIRAL®を使って下さるお客様も一緒になってセキュリティを意識して、お互いセキュリティについて考えていること、取り組んでいることをシェアしていくことで、よりセキュアな状況が生まれるのではないかなと思っています。
鈴木:志賀さんの、お客様に向けての情報発信もその一環ですよね。
志賀:パイプドビッツの社員から、お客様とのコミュニケーションにセキュリティの情報を活用していきたいという要望があり、「セキュリティ推進レポート」というセキュリティレポートを発信していました。今はもうちょっとライトな、セキュリティのポイントや、どうセキュリティを実践すべきかのネタを発信したりしています。対策会議で議論した、時事的な内容を織り込むこともあります。
セキュリティって、当社だけじゃなくて社会に必要な要素だと思っているんです。仕事とか業務のためのセキュリティじゃなくて、自分の周りにいる家族や友達や大事な人たちを守るためのセキュリティを、普段から意識していてほしい。セキュリティにおいては積極的に公私混同して、ビルトインしたいなと思います。「自宅でできていないことは会社でできる」わけ、ありませんよね。
どんな場面でもセキュリティの知識と行動が自然と実践できるような人材を、少なくとも我々「情報資産の銀行」に関わってくれた人たちにビルトインしていきたいなという思いはあります。そういう思いで当社で今活躍してくれる人達が、もし新しい環境に行っても同じように考えて、それをもっと広げてくれたりすれば、それは社会にとっていいことだと思います。
岡田:その視点ですね。パイプドビッツを使っているお客さんの事業にセキュリティが組み込まれていくだけでなく、それを作っている人、使っている人にも、セキュリティがビルトインされるといいよね、ってことですよね。
また、自社内もお客様にも質の高い情報が鍵。セキュリティはサービス提供者も利用者も一緒にやることが重要。本当にそう思います。確かに、「情報を大切にしたいからパイプドビッツにデータを預けたい」と考える顧客が増えれば増えるほど、双方に成長が求められます。
この度は、パイプドビッツのセキュリティチームの皆さんから、運用、開発、セキュリティ、業務部門のガバナンスと幅広いスコープでどのようにセキュリティを「ビルトイン」できるか。問題発見の経験から、改善サイクルを効果的に回すようシフトレフトしていく強い意志をお伺いできました。
今後も、変化の激しい情勢ですが、丁寧にセキュリティを組み込めるよう推進していきたいと思います。引き続きよろしくお願いいたします。