物理とサイバーにまたがるセキュリティの取り組み–フォトシンスの小嶋CISO
今回は「物理とサイバーにまたがるセキュリティの取り組み–フォトシンスの小嶋CISO」についてご紹介します。
関連ワード (CIO/経営、トップインタビュー等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
物理とサイバーをまたがるIoTのセキュリティは、両方にまたがる広範な取り組みが求められる。IoT領域で事業を展開する企業は、どのように取り組んでいるのだろうか。スマートキーの入退室管理システム「Akerun」を手掛けるPhotosynthで最高情報セキュリティ責任者(CISO)を務める小嶋聡史氏に話を聞いた。
Akerunは、ドアに設置するスマートロック装置と、ICカードやスマートフォンアプリで入退室管理を行うクラウドサービスで構成される。Photosynthは、Akerunを法人向けに提供し、国内で高いシェアを持つ。
小嶋氏は、インターネットイニシアティブ(IIJ)やグリー、ランサーズ、DMM.com、ベルトラで、サービス開発や開発体制の整備、Site Reliability Engineering(SRE)や情報セキュリティの推進役として活躍。Photosynthには、2020年10月にテックリードとして入社し、SREを中心としたサービス基盤の強化に携わりながら、2022年7月からCISOを務めている。入社の動機は、「モノとインターネットの間にあるIoTを経験したことがなく、未知の分野に魅力を感じていた。知人から紹介を受け、これまでの経験を生かしてサービス品質やセキュリティの向上に貢献したいと考えた」という。
同社でのセキュリティの取り組みについて小嶋氏は、可視化と定量的な評価を地道に積み重ねていくことにあると述べる。入社からしばらくは、Akerunなど同社のサービス、プロダクトの稼働率の改善といった品質の向上にSREで取り組み、そこではさまざまな指標とモニタリングを通じて、問題や課題の把握と分析、究明、改善策の検討や効果の検証などといった作業を丹念に繰り返してきた。
「こうしたことは今では当り前だが、受動的でなく能動的に対応できるよう予測して先回りし、安定した稼働を実現する仕組みが重要になる。経営陣の理解も得ながら予算を確保し、PDCAのサイクルを通じて組織化、自動化、可視化の仕組み作りを進めている」
まずアプリケーションやクラウドなど“サイバー”側のセキュリティ対策では、ツールを活用してセキュリティ状況の把握と可視化を効率的、効果的に行う仕組みを設けているという。
ソースコードは「GitHub」上で管理しており、GitHubの「Dependabot」を利用して、依存ライブラリーなどの状態の把握と可視化、脆弱(ぜいじゃく)性の洗い出しなどを日々実施している。また、バックエンド側ではAmazon Web Services(AWS)を利用しており、AWSの「Security Hub」や「Trusted Advisor」などでセキュリティの制御(ガードレール)を実施している。AWSのセキュリティのベストプラクティスや米Center for Internet Security(CIS)の「CIS Controls」などを参考にセキュリティ状態のベースラインを規定して、自動的に評価している。
こうした可視化の仕組みは、同社が利用しているクラウドサービスなどの各種ツールを活用することにより、短期間で構築することができたという。自社が取り組むべきセキュリティ対策も、標準化されたツールやドキュメントなどを活用することにより、明確に推進していくことができるとする。
一方で、可視化の範囲が拡大し、粒度がきめ細かくなるほどに大量のアラートが生成される状況にもなる。小嶋氏は、「そこからが勝負になる。アラートは致命的なものばかりというわけではないため、トリアージを行ってプライオリティーの高いものから優先的に対応していく。リソースは限られるので、経営陣に説明をして協力を得ながら、地道に対応を進めていくことに尽きる」と話す。
例えば、脆弱性への対応では、脆弱性情報で重要度が「High(中程度)」や「Critical(高)」に分類されるものに最優先で対処し、これらの脆弱性をゼロ件に近づける努力を重ねる。ただ、こればかりに追われていると疲弊してしまうため、多層防御も併用してセキュリティ対策全体のバランスも図ることで、無理なく取り組みを推進できるよう工夫しているという。
「セキュリティの課題を一気に解決する方法はないので、仕組みしっかりと作り込み、できるところから取り組むことが肝心だといえる。セキュリティ対策は漠然といきなり大きな目標を立てても実行するのは難しい。可視化して確実に見えるもから優先的に取り組む。定量化してグラフにして見せて、その変化を共有すること。当社の規模では、取り組みを地道に積み重ねていくことに尽きる」(小嶋氏)
同社のエンジニアは約40人で小規模だといい、1人が担当する範囲は幅広く、新たなサービスやプロダクトの開発を手掛けながらセキュリティの業務をこなしていくのは難しい。そのために小嶋氏は、ツールやベストプラクティスを活用してなるべく自動的に可視化と定量化を行える仕組みを整備し、可視化したセキュリティ状態に応じて、エンジニアが適切に対応できる体制を構築した。
開発においても、IoTのセキュリティガイドラインといった世界中のさまざまな指針をもとにベースラインを整備しており、これを順守した開発プロセスに努めている。
同社では、全社員が参加する毎月のミーティングの中でセキュリティの状況を全社員に周知しており、脆弱性件数の推移といった分かりやすい指標をグラフで分かりやすく報告して、共有を図っている。「セキュリティを推進する上で人の要素は大きく、開発も営業も含め全社でセキュリティ意識の向上を目指している。危ないのか、どう危ないのかを分かりやすくすることが大切で、定量化してグラフにすれば、セキュリティに詳しくない人もそれを見れば理解しやすい」(小嶋氏)