企業を狙うサイバー攻撃が複雑化・高度化し、個人情報のろうえいなどが事業継続に及ぼすリスクがますます高まっている。

そんな中、「守り」に徹するだけでなく、「攻め」のセキュリティに取り組むことの重要性を実感しているセキュリティの現場も多いだろう。

一方で、セキュリティ分野の投資に踏み切れない企業も多く、経営層と現場の間で温度差が生まれてしまっているケースも少なくない。

そこで、『エンジニアtype』では2023年6月21～25日に開催したテックカンファレンス『ENGINEERキャリアデザインウィーク2023（ECDW2023）』で、トークセッション「事業を育てるセキュリティーとは？ 開発現場から変える日本企業のサイバーセキュリティー」を実施。

本セッションにゲストとして登壇したのは、クラウドコンピューティングサービスを提供するさくらインターネットで最高情報セキュリティ責任者を務める江草陽太さんと、 サイバーセキュリティスタートアップFlatt Securityの代表取締役CEO井手康貴さん。モデレーターは、 グループウェアや業務改善サービスを提供するサイボウズのセキュリティ室／Cy-SIRTに所属する松本 純さんが務めた。

日本企業のサイバーセキュリティを次のステージへとアップデートするために、エンジニアは何ができるのかーー。業界の識者三人が議論を交わした。

さくらインターネット
執行役員／最高情報セキュリティ責任者／最高情報責任者
江草陽太さん

大阪府出身。洛星中学・高等学校時代にロボット研究部を立ち上げる。その後大阪大学工学部電子情報工学科に進学。学生時代より個人事業としてシステム開発やISMS取得などのセキュリティコンサルタントを行う。2014年10月、さくらインターネットに入社。16年7月、25歳の時に執行役員に就任。社内全体の技術推進を統括。ネットワーク、データベース、情報セキュリティスペシャリスト

Flatt Security
代表取締役CEO
セキュリティ・キャンプ協議会 理事
井手康貴さん

高校時代に18歳選挙権成立のための運動に携わるなど政治活動を展開。東京大学経済学部卒業。在学中にFiNC（現FiNC Technologies）、メルカリでのエンジニア経験を経て、2017年にFlatt(現・Flatt Security)を創業。エンジニアとしては豊富なサーバーサイドの開発経験を有する

サイボウズ
セキュリティ室 / Cy-SIRT
日本シーサート協議会(NCA) 地区活動委員
セキュリティ・キャンプ協議会 理事
松本 純さん

1994年4月株式会社カプコンに入社し、ゲームプログラム開発、社内システム、オンラインサービスの構築や運用、ゲームの不正対策・セキュリティ対策に従事する。2022年4月にサイボウズ株式会社セキュリティ室/Cy-SIRTに移り、会社のTrust向上活動に取り組む。CISSP、情報処理安全確保支援士

「攻め」と「守り」のバランスを総合的に考える

松本：はじめに、さくらインターネット、Flatt Securityではどのような事業を行っているのか、簡単に説明していただけますか？

江草：さくらインターネットでは、データセンターを持っておりまして、それを使ったクラウドサービスを提供しています。

物理的なサーバーをレンタルすることもあれば、VPS（仮想専用サーバー）のようなクラウドインフラサービスを提供することもあります。

つまり、サーバーと通信サービスをクラウドとして提供している会社、と考えていただければ分かりやすいと思います。

井手：Flatt Securityでは開発者のためのセキュリティを掲げて事業を行っています。

プロダクトの脆弱（ぜいじゃく）性を発見するサービスや、開発の前段階で設計のレビューをするサービス提供もしています。

また、弊社では『Shisho Cloud』というクラウドの設定監査を組織的・継続的に行うサービスや、『KENRO』という、開発エンジニアの方がセキュアコーディングを学ぶためのeラーニングサービスの提供にも力を入れています。

松本：サイボウズについてもご紹介させていただくと、「チームワークあふれる社会を創る」を企業理念としている会社で、情報共有のためのグループウェアやWebアプリケーションをノーコードで作れるツールを開発し、クラウドサービスとして提供しています。

昨今、サイバー攻撃が複雑化・高度化していますが、お二方の実感としてはどうですか？

江草：弊社の事例でお話しすると、さくらインターネットに対するサイバー攻撃の目的は主に二つあります。

一つは弊社のサービスに対する攻撃、もう一つは弊社のお客さまのアカウントを不正利用しようとするパターンです。

最近弊社のサービスそのものへの攻撃として一番多いのは、DNS（ドメインネームシステム）への攻撃ですね。

DNSの弱いところを突いてビジネスサーバー自体を狙いに来るので、狙われたお客さま以外のお客さまにも影響が出やすく、対策には非常に苦労しています。

お客さまのアカウントの不正利用はもう、イタチごっこです。何か対策をとればまたすぐに別の手法でアカウントを狙いに来たり、フィッシング攻撃の手法を変えてきたり。

もうこれは仕方ないのかなと。あとは、常にイタチごっこを続けられるか、という問題です。

松本：私は前職がゲーム開発会社だったので、イタチごっこの苦労はよく分かります。

常に新しい手法が出てくるので、それに対して対策を打ち、そうしているうちにもまた新しい手法が出てくる。本当に大変ですよね。

セキュリティベンダーの立場である井手さんは、お客さまの事例などもよく見ていらっしゃるかと思いますが、日本の会社にはどんなセキュリティ課題があると感じていらっしゃいますか？

井手：プロダクトセキュリティの目線でお話しさせていただくと、今はやはりソフトウエアサプライチェーンのセキュリティに関するご相談や、インターネットに露出しているIT資産をサイバー攻撃から守る「アタックサーフェスマネジメント」（ASM）についてのご相談が増えていますね。

これまではアプリケーションレベルのセキュリティをお手伝いさせていただくことがほとんどでしたので、ご相談の幅が広がっているのを感じますね。

しかし、皆さんがいろいろなSaaSやアプリなどを使っている中で、それらを一括して資産管理したいというようなニーズが高くなっていることを感じます。

松本：お客さまのIT資産が狙われるだけでなく、セキュリティベンダーに対する直接的な攻撃もあるのでしょうか？

井手：現状そこまで強く受けているわけではありませんが、われわれもサービス提供者なので、もちろんサイバー攻撃への対策は講じておりますし、お客さまに対してもプロダクトへのサイバーセキュリティ対策につながるサービスの提供を行っています。

われわれが提供している『KENRO』というeラーニングでは、実際にWebアプリケーションを攻撃する「ハッキング演習」と、コードを書いて脆弱性を修正する「堅牢（けんろう）化演習」を行っており、実践で生かせる内容を提供しています。

松本：なるほど、ハッキングができるようになることで、それに対応する技術も学べるという、逆説的な発想なのですね。

セキュリティ対策には、「攻めのセキュリティ」と「守りのセキュリティ」があると思いますが、サイボウズでは、攻めのセキュリティを開発部門で製品セキュリティを見ているCy-PSIRT（Cybozu inc. Product Security Incident Response Team）というチームが担っています。

Cy-PSIRTには、世界各地に約20名のエンジニアが在籍し、主に三つの取り組みを実施しています。

一つ目はPSIRTメンバーによる脆弱性診断、二つ目はセキュリティベンダーに依頼して脆弱性を診断していただく際のコーディネーションです。そして三つ目が、「バグバウンティ」、いわゆる脆弱性報奨金制度です。

バグバウンティは2014年からスタートし、世界中の善意の技術者に弊社の製品に潜む脆弱性を発見・報告していただき、影響度に応じた奨励金をお支払いする制度です。報奨金の上限は1件当たり200万円。このような取り組みが、弊社の「攻めのセキュリティ」と言えます。

「守りのセキュリティ」としては、私が所属するセキュリティ室が担っています。ISMSやISMAPなどのセキュリティ認証を取得することにより外部からのお墨付きをいただき、クラウドサービスを安心してお客さまに利用していただいています。

江草：たしかに、セキュリティ対策は、守るだけに徹しすぎてもいけませんよね。

ただ、バランスを取るのがとても難しい。サイバー攻撃に過度におびえてルールで縛ってしまうと、お客さまはサービスが使いづらくなります。

また、社内の規定でも、縛りすぎると仕事がしづらくなって事業が育たなくなる。何がリスクで、何をやりたいのかをバランスよく総合的に考えるのが重要ですね。

「定期的なリスク共有」と「セキュリティ事故訓練」で経営層の意識を変える

松本：また、今は事業を行っていく上でサイバー攻撃への対策は欠かせませんが、現場と経営層との間で温度差が生まれることもあると思います。

現場では、攻めと守りのセキュリティにバランスよく取り組んでいきたいけれど、経営層の判断でそこにあまり投資をしてもらえない、というような。

弊社では情報システム部門やセキュリティ部門の部門長が、定期的に経営層に情報をインプットする時間を設けているのですが、経営に携わる立場のお二方から見てこのギャップを埋めるためにできることは何だと思いますか？

江草：経営層に対しては、リスクをはっきりと伝えることが大事ですね。

リスクに対するセキュリティを強化しなかった場合、どのような実務上の問題が起きるのか。あるいは、しっかり予算を割いてセキュリティ対策をした結果、どんなメリットがあるのか。

例えば弊社では、セキュリティに関するリスクを実感してもらうために、経営者や役員を集めて、仮に情報漏洩等のセキュリティ事故があったことを想定した訓練を実施しました。

エンジニアが攻撃のシナリオも考えて、それに対して実際に謝罪会見まで行ったんですよ。実際にやってみると、「これはまずい」という意識になると思いますね。

松本：なるほど、防災訓練のように、セキュリティ事故の訓練を行うわけですね。井手さんはいかがですか？

井手：事業においてセキュリティ対策はコストになるため、なかなか優先順位が上がらないという話を、弊社のお客さまからもよく伺います。

そして、セキュリティ対策が進むかどうかは、経営層に技術が分かる方がいるかどうかで変わってしまうこともよくありますよね。

もし、技術に感度が高くない経営層が多いなら、やはりリスクをインプットしてもらう時間を意識的につくることが重要だと感じます。

江草：われわれ三社のクライアントは法人がメインですが、クライアントのセキュリティ意識を向上させていくことも課題ですよね。

江草：弊社のクライアントがシステム構築をする場合は、2要素認証を必須にしていくような対策をとったり、フィッシングに対する注意喚起をしたりしていますが、攻撃の技術はどんどん新しくなっていきますから、クライアントのセキュリティ知識を上げるサポートもしていく必要があると感じています

勉強会の開催や「知識のつまみ食い」で継続的に技術力を研鑽

松本：セキュリティエンジニアも、常に新しい技術を学び続け、専門性を深めていかないといけないので、苦労も多いですがその分やりがいも大きいと個人的には感じています。

お二人は学生時代からシステム開発を経験されているそうですが、そこで今につながる経験を得られたのでしょうか？

江草：私はもともと小中学生の頃から電子工作が好きで、プログラミングを始めたのも、ロボットを作るためでした。

そして、大学に入ってからはWebシステムにも興味が出てきて、アルバイトや個人事業でシステム開発をするようになって、大学の施設の予約システムやプライベートクラウドなどを自作するようになったんです。

そういったことをしていると、だんだんセキュリティのことが気になってきて、Webフレームワークのことを調べていると、脆弱性対策のことが書いてあるので、徐々にセキュリティ対策の知識もついてきました。

それが結果的に今の仕事にもつながっているのだと思います。

井手：僕も学生時代からエンジニアとしてものづくりはやっていましたが、当時はセキュリティに関してちゃんと意識はできていなかったですね。

僕が大学生の頃、Terraformなどのサービスが出現したこともあり、もともとインフラエンジニアのような専門職の方がやっていたようなことを、開発エンジニアが扱えるようになってきて、職域が近づいていくのを感じていました。

同じようにセキュリティ分野も、専門職であるセキュリティエンジニアがやるものというようなイメージがありましたが、そこも今後は職域が良い意味であいまいになっていくだろうと考えて、開発者向けのセキュリティビジネスに取り組むことを決めました。

今後、「開発者だけどセキュリティも実践する」人が増えていくと、その課題を解決するサービスも必要でしょうし、自分自身もこの分野は学ぶことが多くて面白そうだと感じましたね。

松本：セキュリティの分野はとにかく進歩が早いし、それをキャッチアップして対策を考えていくのは、エンジニアとしても面白さを感じるところですよね。

今はお二人とも経営に携わるお立場ですが、エンジニアとしての技術研鑽はいまだにされていますか？

井手：そうですね、経営者としての仕事をすることがメインですが、社内で勉強会を頻繁に行っていて、自分もそれに参加して学ぶ機会は設けるようにしています。

また、今年2月に『Security.Tokyo』というコミュニティー型のセキュリティ勉強会を立ち上げました。会社の垣根をこえた有志メンバーと次回開催に向けて動き始めています。

江草：趣味でも仕事でも、新しいものを調べたり、新しい技術を使ってみたりするのが好きなので、それは習慣になっているかも。そして、それがエンジニアとしての自己研鑽にもつながっていると思います。

仕事では、新しいサービスを自分で作っていますし、プライベートでも同人的にハードウエアを作って売ったりもしていて。

あとは、分からないことが出てきたら、とにかく人に聞いていますね。知識のつまみ食いだけでもいいので、小さな行動を繰り返すことは大事だと思います。

松本：セキュリティ対策やインシデント対応においても、自社で得られる経験には限りがあるので、外部の方々と交流を持つことが大切ですよね。

そういう意味で、今日のようなイベントに参加したり、社内外の人とつながれるコミュニティーの勉強会に参加したりすることも役に立つと感じています。

今回のイベントを通じて、セキュリティ分野のエンジニアとして働く魅力も多くの人に伝わっていたらうれしいですね。

＞＞『キャリアデザインウィークECDW』のイベントレポート一覧はこちら

＞＞本編アーカイブ動画はこちら

文／宮﨑まきこ