「セキュリティー監視の消耗を無くす」クックパッドが取り組むアラート対応の自動化【Cookpad TechConf 2019】
2019年2月27日、クックパッド社内のエンジニアやデザイナーがサービス開発の過程・技術的な知見を発表するイベント『Cookpad TechConf 2019』(恵比寿ガーデンプレイス ザ・ガーデンホール)が開催された。
2018年の1年間で複数の新規事業をリリースしたクックパッド。一方で、サービスの規模が拡大するということは、セキュリティ担当者による監視対象が増えるということでもある。同社・技術部セキュリティグループ長の水谷正慶さんは、「セキュリティーの監視基盤をスケールする上で、セキュリティー監視における消耗をまず減らすことが重要になる」と話す。
水谷さんが、同イベントにおいて語った内容から、組織拡大期に伴うセキュリティー監視基盤の作り方を学びたい。
セキュリティー対策で、完全な防御はありえない
セキュリティー対策は、ウイルスなどの侵入を防ぐために脆弱性の改善に取り組む「防御」、侵入の痕跡や原因を発見する「検出」、被害の大きさを調査・改善する「対応」の大きく3つのフェーズに分けられると水谷さんは言う。
セキュリティー対策の中で、セキュリティー監視が担う範囲は、「検出」と「対応」になる。
そもそも、セキュリティー監視をする理由は、大きく2つ。「セキュリティー被害を完全に防御できない」こと、「検出に力を入れることで、利用者の負担を減らす」ことだ。
「脆弱性の改善に向けて努力し、完璧な防御を目指しても、攻撃者達はそれらを掻い潜るさまざまな手段を実践してきます。そのため、侵入を完全に防ぐことはできません。ただし、仮に防御はできなかったとしても、すぐに検出・対応ができれば、セキュリティーのリスクを極小化できますよね。防御の段階では何かを禁止するなど利用者の不便を強いるものが、禁止ではなく監視で対応できれば利用者がより仕事をしやすくなり、全体のコストを下げることができます」
『Security as Code』でアラートを自動化する
「セキュリティー担当者の負担を減らす」ための取り組みとして、クックパッドが現在取り組んでいるのがアラートの自動化だ。
現在、数々の新規事業立ち上げに取り組んでいるクックパットでは、サービスの規模拡大に伴う監視対象の増加により、セキュリティー監視基盤をスケールする必要があった。その際に、セキュリティー担当者が疲弊する原因になるのが「アラート対応」の増加だ。
「セキュリティ担当者を消耗させるアラートには、大きく分けると“誤検知”と“過剰検知”の2つがあります。“誤検知”とはそもそも攻撃に当たらないものを間違って検出してしまうこと。“過剰検知”は、攻撃ではあるものの、実際には被害が起きない程度で、防御できたものを検出してしまうことです」
このようなアラートが増えると、対応コストだけがかさみ、本当に重要なアラートを見逃してしまう可能性もある。セキュリティー監視の消耗を防ぐために、水谷さんは「アラートをルール化」して、アラートの数を減らすことが大切だと話す。
「アラートの種類ごとに条件を設定して、無視してもいいものをルール化して除外していくことが大切です。とはいえ、条件を設定した上で本当に正確な検知ができるのか、プロダクトやサービスごとに条件の設定の仕方も変えなくてはいけないなど、さまざまな問題がありました」
そこで同社が取り入れているのが、『Security as Code』の概念だ。『Security as Code』とは、セキュリティの設定やセキュリティに関わる対応手順をコード化してしまう概念のこと。その中でも検知に関わる処理では、アラートの検知・分析・評価の処理をコード化することにより、担当者の負担を軽減しながら監視業務を継続することができる。同社では、ログの収集と分析にフォーカスして利用している。
「検知に関わる処理をコードとして記述することで、セキュリティー担当者が何度も影響のないアラートを対応せずに済み、対応コストを下げることができます。サービスの規模や種類を増やすにあたり、セキュリティー監視はアラート対応のスケーラビリティーを考えないといけません。アラート対応をコードで自動化することによって、セキュリティー監視の負担を減らしていくことは、監視基盤を拡大する上で重要なことになります」
セキュリティー監視基盤をスケールする鍵は、アラートの自動化によってセキュリティー監視の消耗を無くす事にある。クックパッド・セキュリティグループの今後の動向に注目していきたい。
取材・文/君和田 郁弥 画像提供/クックパッド
RELATED関連記事
RANKING人気記事ランキング
NEW!
ITエンジニア転職2025予測!事業貢献しないならSESに行くべき?二者択一が迫られる一年に
NEW!
ドワンゴ川上量生は“人と競う”を避けてきた?「20代エンジニアは、自分が無双できる会社を選んだもん勝ち」
NEW!
ひろゆきが今20代なら「部下を悪者にする上司がいる会社は選ばない」
縦割り排除、役職者を半分に…激動の2年で「全く違う会社に生まれ変わった」日本初のエンジニア採用の裏にあった悲願
日本のエンジニアは甘すぎ? 「初学者への育成論」が米国からみると超不毛な理由
JOB BOARD編集部オススメ求人特集
タグ