物理とサイバーにまたがるセキュリティの取り組み–フォトシンスの小嶋CISO

今回は「物理とサイバーにまたがるセキュリティの取り組み–フォトシンスの小嶋CISO」についてご紹介します。

関連ワード (CIO/経営、トップインタビュー等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 物理とサイバーをまたがるIoTのセキュリティは、両方にまたがる広範な取り組みが求められる。IoT領域で事業を展開する企業は、どのように取り組んでいるのだろうか。スマートキーの入退室管理システム「Akerun」を手掛けるPhotosynthで最高情報セキュリティ責任者(CISO)を務める小嶋聡史氏に話を聞いた。

 Akerunは、ドアに設置するスマートロック装置と、ICカードやスマートフォンアプリで入退室管理を行うクラウドサービスで構成される。Photosynthは、Akerunを法人向けに提供し、国内で高いシェアを持つ。

 小嶋氏は、インターネットイニシアティブ(IIJ)やグリー、ランサーズ、DMM.com、ベルトラで、サービス開発や開発体制の整備、Site Reliability Engineering(SRE)や情報セキュリティの推進役として活躍。Photosynthには、2020年10月にテックリードとして入社し、SREを中心としたサービス基盤の強化に携わりながら、2022年7月からCISOを務めている。入社の動機は、「モノとインターネットの間にあるIoTを経験したことがなく、未知の分野に魅力を感じていた。知人から紹介を受け、これまでの経験を生かしてサービス品質やセキュリティの向上に貢献したいと考えた」という。

 同社でのセキュリティの取り組みについて小嶋氏は、可視化と定量的な評価を地道に積み重ねていくことにあると述べる。入社からしばらくは、Akerunなど同社のサービス、プロダクトの稼働率の改善といった品質の向上にSREで取り組み、そこではさまざまな指標とモニタリングを通じて、問題や課題の把握と分析、究明、改善策の検討や効果の検証などといった作業を丹念に繰り返してきた。

 「こうしたことは今では当り前だが、受動的でなく能動的に対応できるよう予測して先回りし、安定した稼働を実現する仕組みが重要になる。経営陣の理解も得ながら予算を確保し、PDCAのサイクルを通じて組織化、自動化、可視化の仕組み作りを進めている」

 まずアプリケーションやクラウドなど“サイバー”側のセキュリティ対策では、ツールを活用してセキュリティ状況の把握と可視化を効率的、効果的に行う仕組みを設けているという。

 ソースコードは「GitHub」上で管理しており、GitHubの「Dependabot」を利用して、依存ライブラリーなどの状態の把握と可視化、脆弱(ぜいじゃく)性の洗い出しなどを日々実施している。また、バックエンド側ではAmazon Web Services(AWS)を利用しており、AWSの「Security Hub」や「Trusted Advisor」などでセキュリティの制御(ガードレール)を実施している。AWSのセキュリティのベストプラクティスや米Center for Internet Security(CIS)の「CIS Controls」などを参考にセキュリティ状態のベースラインを規定して、自動的に評価している。

 こうした可視化の仕組みは、同社が利用しているクラウドサービスなどの各種ツールを活用することにより、短期間で構築することができたという。自社が取り組むべきセキュリティ対策も、標準化されたツールやドキュメントなどを活用することにより、明確に推進していくことができるとする。

 一方で、可視化の範囲が拡大し、粒度がきめ細かくなるほどに大量のアラートが生成される状況にもなる。小嶋氏は、「そこからが勝負になる。アラートは致命的なものばかりというわけではないため、トリアージを行ってプライオリティーの高いものから優先的に対応していく。リソースは限られるので、経営陣に説明をして協力を得ながら、地道に対応を進めていくことに尽きる」と話す。

 例えば、脆弱性への対応では、脆弱性情報で重要度が「High(中程度)」や「Critical(高)」に分類されるものに最優先で対処し、これらの脆弱性をゼロ件に近づける努力を重ねる。ただ、こればかりに追われていると疲弊してしまうため、多層防御も併用してセキュリティ対策全体のバランスも図ることで、無理なく取り組みを推進できるよう工夫しているという。

 「セキュリティの課題を一気に解決する方法はないので、仕組みしっかりと作り込み、できるところから取り組むことが肝心だといえる。セキュリティ対策は漠然といきなり大きな目標を立てても実行するのは難しい。可視化して確実に見えるもから優先的に取り組む。定量化してグラフにして見せて、その変化を共有すること。当社の規模では、取り組みを地道に積み重ねていくことに尽きる」(小嶋氏)

 同社のエンジニアは約40人で小規模だといい、1人が担当する範囲は幅広く、新たなサービスやプロダクトの開発を手掛けながらセキュリティの業務をこなしていくのは難しい。そのために小嶋氏は、ツールやベストプラクティスを活用してなるべく自動的に可視化と定量化を行える仕組みを整備し、可視化したセキュリティ状態に応じて、エンジニアが適切に対応できる体制を構築した。

 開発においても、IoTのセキュリティガイドラインといった世界中のさまざまな指針をもとにベースラインを整備しており、これを順守した開発プロセスに努めている。

 同社では、全社員が参加する毎月のミーティングの中でセキュリティの状況を全社員に周知しており、脆弱性件数の推移といった分かりやすい指標をグラフで分かりやすく報告して、共有を図っている。「セキュリティを推進する上で人の要素は大きく、開発も営業も含め全社でセキュリティ意識の向上を目指している。危ないのか、どう危ないのかを分かりやすくすることが大切で、定量化してグラフにすれば、セキュリティに詳しくない人もそれを見れば理解しやすい」(小嶋氏)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
WebAssemblyにスレッドやコンポーネントモデルなど導入へ、Bytecode Allianceがロードマップを公開
W3C
2023-07-26 02:45
primeNumber、「trocco」において「Azure Synapse Analytics」へのデータ連携を可能に
IT関連
2024-04-21 08:49
テスト自動化のために作られたIDE「Aqua」、JetBrainsが正式公開。Webインスペクタ、HTTPクライアント、テストランナー、デバッガーなど統合。個人向けは無料
ソフトウェアテスト・品質
2024-05-21 22:47
国産セキュリティ企業として成長目指す–サイバーセキュリティクラウド
IT関連
2021-04-15 13:05
「Android」向け「プライバシーサンドボックス」、ベータ版が提供開始
IT関連
2023-02-16 17:01
クリックテック、「Connector Factory」を発表–企業のデータ活用を推進
IT関連
2023-03-10 04:16
Open Network Lab第22期デモデーを開催、社内向け動画ツールやCO2削減サービスなど4社が登場
イベント情報
2021-04-21 13:53
第1回:CMSから始めるDX–コンテンツ管理システムとは何か
IT関連
2022-09-02 17:34
富士通と武田薬品ら、卵巣がん患者の「ペイシェントジャーニー」可視化に向けた研究開始
IT関連
2021-05-18 10:54
Meta(旧Facebook)が大規模向けのビルドシステム「Buck2」をオープンソースで公開。高速かつ高信頼で拡張可能なビルドシステム
Facebook
2023-04-14 19:17
フードデリバリーのFavorを設立した2人が不動産賃貸のSunroom Rentalsで11.6億円を調達
その他
2021-02-25 06:09
愛知県の春日井市民病院、予算内で運用可能なバックアップ体制を整備
IT関連
2024-06-06 03:28
「コンピューティングパワーは不足しつつある」–IBMの答えはAI向け新チップ「AIU」
IT関連
2022-11-09 13:52
スクウェア・エニックス、コンテンツ管理基盤で電帳法対象書類の管理を効率化
IT関連
2024-03-28 19:09