Techトレンド Vol.839

「セキュリティー監視の消耗を無くす」クックパッドが取り組むアラート対応の自動化【Cookpad TechConf 2019】

2019年2月27日、クックパッド社内のエンジニアやデザイナーがサービス開発の過程・技術的な知見を発表するイベント『Cookpad TechConf 2019』(恵比寿ガーデンプレイス ザ・ガーデンホール)が開催された。

2018年の1年間で複数の新規事業をリリースしたクックパッド。一方で、サービスの規模が拡大するということは、セキュリティ担当者による監視対象が増えるということでもある。同社・技術部セキュリティグループ長の水谷正慶さんは、「セキュリティーの監視基盤をスケールする上で、セキュリティー監視における消耗をまず減らすことが重要になる」と話す。

水谷さんが、同イベントにおいて語った内容から、組織拡大期に伴うセキュリティー監視基盤の作り方を学びたい。

クックパッド株式会社 技術部セキュリティグループ長
水谷 正慶さん(@m_mizutani)
慶應義塾大学政策・メディア研究科にて博士号取得後、日本IBM 東京基礎研究所およびセキュリティオペレーションセンターで勤務。2017年11月にクックパッドへ入社。セキュリティグループのリーダーとして、監視システムの設計・開発・運用を中心にセキュリティ関連業務全般に従事している

セキュリティー対策で、完全な防御はありえない

セキュリティー対策は、ウイルスなどの侵入を防ぐために脆弱性の改善に取り組む「防御」、侵入の痕跡や原因を発見する「検出」、被害の大きさを調査・改善する「対応」の大きく3つのフェーズに分けられると水谷さんは言う。

セキュリティー対策の中で、セキュリティー監視が担う範囲は、「検出」と「対応」になる。

そもそも、セキュリティー監視をする理由は、大きく2つ。「セキュリティー被害を完全に防御できない」こと、「検出に力を入れることで、利用者の負担を減らす」ことだ。

「脆弱性の改善に向けて努力し、完璧な防御を目指しても、攻撃者達はそれらを掻い潜るさまざまな手段を実践してきます。そのため、侵入を完全に防ぐことはできません。ただし、仮に防御はできなかったとしても、すぐに検出・対応ができれば、セキュリティーのリスクを極小化できますよね。防御の段階では何かを禁止するなど利用者の不便を強いるものが、禁止ではなく監視で対応できれば利用者がより仕事をしやすくなり、全体のコストを下げることができます」

『Security as Code』でアラートを自動化する

「セキュリティー担当者の負担を減らす」ための取り組みとして、クックパッドが現在取り組んでいるのがアラートの自動化だ。

現在、数々の新規事業立ち上げに取り組んでいるクックパットでは、サービスの規模拡大に伴う監視対象の増加により、セキュリティー監視基盤をスケールする必要があった。その際に、セキュリティー担当者が疲弊する原因になるのが「アラート対応」の増加だ。

「セキュリティ担当者を消耗させるアラートには、大きく分けると“誤検知”と“過剰検知”の2つがあります。“誤検知”とはそもそも攻撃に当たらないものを間違って検出してしまうこと。“過剰検知”は、攻撃ではあるものの、実際には被害が起きない程度で、防御できたものを検出してしまうことです」

このようなアラートが増えると、対応コストだけがかさみ、本当に重要なアラートを見逃してしまう可能性もある。セキュリティー監視の消耗を防ぐために、水谷さんは「アラートをルール化」して、アラートの数を減らすことが大切だと話す。

「アラートの種類ごとに条件を設定して、無視してもいいものをルール化して除外していくことが大切です。とはいえ、条件を設定した上で本当に正確な検知ができるのか、プロダクトやサービスごとに条件の設定の仕方も変えなくてはいけないなど、さまざまな問題がありました」 

そこで同社が取り入れているのが、『Security as Code』の概念だ。『Security as Code』とは、セキュリティの設定やセキュリティに関わる対応手順をコード化してしまう概念のこと。その中でも検知に関わる処理では、アラートの検知・分析・評価の処理をコード化することにより、担当者の負担を軽減しながら監視業務を継続することができる。同社では、ログの収集と分析にフォーカスして利用している。

「検知に関わる処理をコードとして記述することで、セキュリティー担当者が何度も影響のないアラートを対応せずに済み、対応コストを下げることができます。サービスの規模や種類を増やすにあたり、セキュリティー監視はアラート対応のスケーラビリティーを考えないといけません。アラート対応をコードで自動化することによって、セキュリティー監視の負担を減らしていくことは、監視基盤を拡大する上で重要なことになります」

セキュリティー監視基盤をスケールする鍵は、アラートの自動化によってセキュリティー監視の消耗を無くす事にある。クックパッド・セキュリティグループの今後の動向に注目していきたい。

>>講演資料・動画はこちら

取材・文/君和田 郁弥 画像提供/クックパッド

この記事が気に入ったらいいね!しよう

エンジニアtypeの最新情報をお届けします

RELATED POSTS関連記事

JOB BOARD編集部おすすめ求人

この記事に関連する求人・キャリア特集

エンジニア転職フェア開催 IT&モノづくりエンジニアを求める優良企業が大集結!
記事検索

サイトマップ



記事ランキング

令和初の仮面ライダー『ゼロワン』はなぜ“AI社会”を描くのか--テレ朝・東映プロデューサーに話を聞いたら「未来の仕事」の本質が見えた

令和初の仮面ライダー『ゼロワン』はなぜ“AI社会”を描くのか...

SIerって本当にヤバいの? ひろゆきが語る、業界ごと沈まないためのキャリア戦略

SIerって本当にヤバいの? ひろゆきが語る、業界ごと沈まな...

データサイエンティストとは?平均年収・将来性・目指し方を解説!

データサイエンティストとは?平均年収・将来性・目指し方を解説...

英文メールでよく見る「略語」の意味は?アメリカ&シンガポール企業で働くエンジニアが解説

英文メールでよく見る「略語」の意味は?アメリカ&シンガポール...

【UXエンジニアを目指すには?】クックパッドのUXエンジニアに聞いた、働き方や勉強法

【UXエンジニアを目指すには?】クックパッドのUXエンジニア...

TAGS

「type転職エージェント」無料転職サポートのご案内