3000万人規模サービスでセキュリティ対策を進めるための組織体制

27381161884_d870f42c9e_k (1)

こんにちは!インフラチーム所属の恩田です。
今回はセキュリティ対策についての記事をお届けします。

■ あらすじ

ここ数年のインターネットの利用率増加に伴い、インターネット利用者のセキュリティ対策に対する意識は近年高まってきていると言われています。しかしながら、その一方で攻撃者の手法や手口も更に巧妙化・高度化の傾向がみられており、事業者にはそれらに対応できるセキュリティ対策が求められています。

また、利用者環境も年々変化しており、スマートフォンの普及や、クラウド・コンピューティング、ソーシャルメディアサービス等の普及により、様々な情報を様々な形でインターネットとやり取りする機会が増えているため、今後はより多角的なセキュリティ対策が必要とされるようになっていきます。

そんな折、ちょうど著者が最近ニューヨークで開催された弊社グループのセキュリティ関連の会議に出席してきたので、その様子のレポートも交えつつ、「3000万人規模サービスのセキュリティ対策トレンド」と題して記事を書かせて頂きます。

エウレカとグループ会社のセキュリティ対策への取り組み

先日、弊社中川の記事でも紹介されましたが、昨年よりエウレカはIACグループに参画しました。IACグループとは米国に本拠地を置くインターネット企業で、そのうちの1ブランドの一つであるMatch Groupは傘下に世界中のオンラインデーティングサイト運営会社を保持しています。エウレカを始め日本でも人気のTinderやヨーロッパを中心に展開しているMeetic、カナダを中心に展開するPOF等、様々なオンラインデーティング会社がグループ内に存在します。

オンラインデーティングサービスはWebサービスの中でも個人情報や課金情報を扱う性質上、非常にシビアなセキュリティ要件が求められます。エウレカではMatchグループ及びIAC本社の各セキュリティ担当者と共にセキュリティ関連のナレッジや取り組みの共有、近年のサイバー犯罪の傾向等についてシェア・議論を行うグループ及び会議体が存在し、二人三脚でセキュリティ対策に取り組んでいます。

セキュリティ対策のポイント

今回は概念的は話になりますが、以下の2つに焦点を当ててお話します。

  • セキュリティ対策状況の可視化と責任分解点の整理
  • 社内メンバーへのセキュリティ教育

セキュリティ対策状況の可視化と責任分解点の整理

まず前提として、セキュリティ対策における一般的な課題と解決方針を説明します。

課題1:セキュリティ対策の取り組み優先度が上がらない

ROIの観点から、セキュリティ対策は重要度は高いが組織内において取り組みの優先度が上がらない事が多いです。また、セキュリティ対策費用は、「サーバ1台あたり~~かかります」みたいな予算提示が難しい事が往々にしてあります。また、現場エンジニアやビジネスセクター(マネタイズ等、各種売上施策に責任を持つチーム)との折衷が大変という側面もあります。

セキュリティリスクの可視化とボードメンバーへのロードマップ提示

トップダウンでセキュリティ施策を実行する場合、Cクラスメンバーとの対話(予算を得るために)を粘り強く持つ事が大切です。その為にも、セキュリティリスクとしてどのような領域が存在し、今何が対策出来ていないのかを可視化する事で意思決定を迅速に出来ます。

課題2:セキュリティ担当者の不在/責任所在が曖昧になりがち

セキュリティは全面を守る必要があるが、クラッカーにとっては1点突破できればよいとよく言われます。すなわち、事業会社側は全方位的なセキュリティ対策が求められます。ですが、組織内でセキュリティ対応優先度をあげられるような政治力と実行力を持ったセキュリティ担当者を雇うのは大変です。

そもそも市場に人が少なく、また評価制度が作りづらいといった面があります。また、専任者がいない場合、全社的なセキュリティ対策について誰がオーナーシップを持つのかが曖昧になりがちといった問題もあります。

セキュリティ対策に責任を持つ中心チームと実行部隊の整備

規模によりますが、全社を統括するセキュリティチームの設置と、各プロダクト毎のセキュリティ担当者を決め、かつ責任分解点を定義する事が重要です。また、評価フローとレポーティングプロセスを定義。情報を一元管理可能にするとよいでしょう。

* この記事では触れませんが、弊社エウレカの属するMatchグループでは上記を実行に移す為のフレームワークが整備されており、弊社もそれに則り、対策を進めています。

■ 社内メンバへのセキュリティ教育

英語ではSecurity Awarenessと呼ばれる分野です。ソーシャルハッキングの類による情報流出が増えているように、Web系事業者はアプリケーション自体の防御策はもちろん必要ですが、同じく社内メンバー経由からの情報流出について対策する必要があります。特に近年はランサムウェアによる攻撃が爆発的に増加傾向にあります。一般的には、以下のような対策を取る事が多いです。

  • フィッシングサイト等に対する現状の意識調査と社内啓蒙
  • GPO等によるアクセス権管理
  • アンチマルウェアソフトの全社的な導入

ちなみに出張先でとあるセキュリティ担当者に聞いた所、フィッシングサイト作成用オープンソースフレームワークであるgophishを用いて実際にスパムメールを社内に配布、現状のセキュリティ意識について実地検証を行ったそうです。(ポロポロみんなひっかかったそうな、、)

オフィス

ここからは軽く出張時の様子を紹介します。IAC本社はニューヨークマンハッタン、チェルシー地区にあります。鉄道路線跡に再開発された空中公園ハイラインの近くにあり、非常にオシャレ(独特?)な外観をしています。

iac_building

会場での朝食の様子

27380902584_348e34eb10_k (1)

この時間は別名Networkingと呼ばれ、懇親会として各参加者同士の人的ネットワーク構築の為に使われます。

グループ会社訪問

会議後に、IACグループで同じ本社ビルに入いっているVimeo、ミッドタウンにオフィスを構えるOkCupidにお邪魔してきました。

Vimeo

案内してくれた彼は社内のセキュリティ担当(兼何でも屋的な)らしく、トークセッションでHashicorp製暗号化ツールであるVaultを用いた取り組みについて紹介していました。セッション後に色々質問した所、オフィス案内してくれたのでその様子を写真でお送りします。

オフィスの様子

27381161884_d870f42c9e_k (1)

ランチスペース

27714482900_bcacad6471_k (1)

OkCupid

社員が連れて来てるワンコが走り回っていました。弊社にも某アイドル犬がいますが、本当に癒やされますよね

27993907406_5cc485f61d_k

Google NY支社

27380386533_552e6611a6_k (1)

ホテルのすぐ近くにありました。ちょうどNYにいた時にLGBTと呼ばれる性的マイノリティーの人たちが参加するパレードが行われていた時期だったので、ロゴがパレード仕様カラーになっていました(パレードで道路規制になってた影響で空港到着からホテル着まで鬼渋滞となりましたが、、)

終わりに

今回はサイバーセキュリティ対策について、概念的は話が多めではありましたがお届けしました。エウレカでは、グローバルな環境で一緒に世界を相手に働く仲間を募集中です。 今年はSummer Internの開催も決定しており、優秀者はUSのThe Match Groupのオフィスへの訪問も出来ることになっております!学生の皆さんのご応募もお待ちしております!

  • このエントリーをはてなブックマークに追加

エウレカでは、一緒に働いていただける方を絶賛募集中です。募集中の職種はこちらからご確認ください!皆様のエントリーをお待ちしております!

Recommend

goji+xorm: Building web api server in golang (part1)

アプリケーションエンジニアも開発やログ解析がはかどる! シェルスクリプトTIPS