2019年２月27日、クックパッド社内のエンジニアやデザイナーがサービス開発の過程・技術的な知見を発表するイベント『Cookpad TechConf 2019』(恵比寿ガーデンプレイス ザ・ガーデンホール)が開催された。

2018年の１年間で複数の新規事業をリリースしたクックパッド。一方で、サービスの規模が拡大するということは、セキュリティ担当者による監視対象が増えるということでもある。同社・技術部セキュリティグループ長の水谷正慶さんは、「セキュリティーの監視基盤をスケールする上で、セキュリティー監視における消耗をまず減らすことが重要になる」と話す。

水谷さんが、同イベントにおいて語った内容から、組織拡大期に伴うセキュリティー監視基盤の作り方を学びたい。

セキュリティー対策で、完全な防御はありえない

セキュリティー対策は、ウイルスなどの侵入を防ぐために脆弱性の改善に取り組む「防御」、侵入の痕跡や原因を発見する「検出」、被害の大きさを調査・改善する「対応」の大きく３つのフェーズに分けられると水谷さんは言う。

セキュリティー対策の中で、セキュリティー監視が担う範囲は、「検出」と「対応」になる。

そもそも、セキュリティー監視をする理由は、大きく２つ。「セキュリティー被害を完全に防御できない」こと、「検出に力を入れることで、利用者の負担を減らす」ことだ。

「脆弱性の改善に向けて努力し、完璧な防御を目指しても、攻撃者達はそれらを掻い潜るさまざまな手段を実践してきます。そのため、侵入を完全に防ぐことはできません。ただし、仮に防御はできなかったとしても、すぐに検出・対応ができれば、セキュリティーのリスクを極小化できますよね。防御の段階では何かを禁止するなど利用者の不便を強いるものが、禁止ではなく監視で対応できれば利用者がより仕事をしやすくなり、全体のコストを下げることができます」

『Security as Code』でアラートを自動化する

「セキュリティー担当者の負担を減らす」ための取り組みとして、クックパッドが現在取り組んでいるのがアラートの自動化だ。

現在、数々の新規事業立ち上げに取り組んでいるクックパットでは、サービスの規模拡大に伴う監視対象の増加により、セキュリティー監視基盤をスケールする必要があった。その際に、セキュリティー担当者が疲弊する原因になるのが「アラート対応」の増加だ。

「セキュリティ担当者を消耗させるアラートには、大きく分けると“誤検知”と“過剰検知”の２つがあります。“誤検知”とはそもそも攻撃に当たらないものを間違って検出してしまうこと。“過剰検知”は、攻撃ではあるものの、実際には被害が起きない程度で、防御できたものを検出してしまうことです」

このようなアラートが増えると、対応コストだけがかさみ、本当に重要なアラートを見逃してしまう可能性もある。セキュリティー監視の消耗を防ぐために、水谷さんは「アラートをルール化」して、アラートの数を減らすことが大切だと話す。

「アラートの種類ごとに条件を設定して、無視してもいいものをルール化して除外していくことが大切です。とはいえ、条件を設定した上で本当に正確な検知ができるのか、プロダクトやサービスごとに条件の設定の仕方も変えなくてはいけないなど、さまざまな問題がありました」　

そこで同社が取り入れているのが、『Security as Code』の概念だ。『Security as Code』とは、セキュリティの設定やセキュリティに関わる対応手順をコード化してしまう概念のこと。その中でも検知に関わる処理では、アラートの検知・分析・評価の処理をコード化することにより、担当者の負担を軽減しながら監視業務を継続することができる。同社では、ログの収集と分析にフォーカスして利用している。

「検知に関わる処理をコードとして記述することで、セキュリティー担当者が何度も影響のないアラートを対応せずに済み、対応コストを下げることができます。サービスの規模や種類を増やすにあたり、セキュリティー監視はアラート対応のスケーラビリティーを考えないといけません。アラート対応をコードで自動化することによって、セキュリティー監視の負担を減らしていくことは、監視基盤を拡大する上で重要なことになります」

セキュリティー監視基盤をスケールする鍵は、アラートの自動化によってセキュリティー監視の消耗を無くす事にある。クックパッド・セキュリティグループの今後の動向に注目していきたい。

＞＞講演資料・動画はこちら

取材・文／君和田 郁弥　画像提供／クックパッド