ロゴ

「Grade up(グレードアップ)」では、SSTに関わるみなさまの声と視点を交えながら
SSTの想いや取り組みをお伝えします

対談インタビュー:ヤフー x SST

“サービス+セキュリティ”企業が考える「セキュリティ教育」の役割

2021年1月13日更新

「攻撃は防げない」ことを前提として、問題を早期発見するため、開発段階・リリース前後の段階ごとに「脆弱性を埋め込まない・取り除く」対策を講じる。「Yahoo! JAPAN Tech Blog」で公表されている「ヤフーのサイバーセキュリティに対する考えと取り組み」では、開発現場における行動規範やルールだけではなく、組織体制のあり方にまで踏み込んで明文化されている。

数々の大規模インシデントという過去の苦い経験をきっかけにヤフー株式会社(以下、ヤフー)は、サイバーセキュリティの重要性に対する認識を大きく転換した。その結果生まれたのが「サービスを開発する際、ユーザーの安心・安全のためにセキュリティを必ず考慮する」「セキュリティ対策には、企業トップを中心として、全社で意思統一がなされる」という“サービス+セキュリティ”の体制だ。

ヤフーでは、2017年よりSSTの「セキュリティ支援サービス」を導入。当社CTO・はせがわようすけを中心としたメンバーで、セキュリティ研修プログラムの開発を通じてセキュリティ向上のための施策をサポートしている。一連のヤフーとの取り組みでは、国内でも有数のサービス+セキュリティ“体制を有する現場からのフィードバックを得られる貴重な機会に恵まれたとともに、実際に開発を行う現場のエンジニアに寄り添った実践的なセキュリティの実現を目指している。

今回のインタビューでは、SSTの乗口、はせがわの両名が「なぜ“サービス+セキュリティ”体制を構築できたのか」「なぜNode.jsのセキュリティにおいてSSTが選ばれたのか」という点について、ヤフーのサービス+セキュリティ”体制を支える、CISO(Chief Information Security Officer/最高情報セキュリティ責任者)室のメンバー、およびNode.jsサポートチームのメンバーにお話を伺った。


セキュリティ教育の役割は
「まず知る、第一歩目」と「“ここまではOK”という範囲の提示」

乗口:はじめに開発者に向けたセキュリティ教育の必要性や目的をどのように捉えていますか?

戸田氏(ゲスト):あらゆるエンジニアに「セキュリティに必要な知識とは何か」を知る最初のステップになること、特に「何をしてしまうと危険なのか」を知ってもらうことを、1つ目の目的にしています。当社には所属するエンジニアの数も多いうえに、分野や言語も多岐にわたっています。アプリやネットワークのエンジニアもいれば、大津のようなTLSやNode.jsのプロフェッショナルもいますし、業務システムを担当するビジネスロジックのエンジニアもいます。エンジニアといっても、それぞれが持っている基礎知識のジャンルが違うと、どうしてもセキュリティ知識にばらつきがあります。そこでセキュリティについての知識と認識を、ある程度同じフィールドにそろえるために必要だと考えています。安心して使える安全なサービスを提供したいからこそ、作り手は「何に気をつけるべきか」を知っておかなければなりません。

はせがわ:もし仮に、セキュリティ知識にばらつきがあったとしたら…。

戸田氏(ゲスト):開発技術は高いけれどセキュリティに関する知識や理解のばらつきが大きいと、極端にいえばあらゆる実装が何でもできるかもしれませんが、裏を返すと「何をやれるかが分からなくなってしまう」という声が現場から出てきてしまうでしょう。技術的には実装可能な手段がセキュリティ上利用可能かどうか、個別に1つずつ調べる必要も生じてしまいます。セキュリティ教育によって、「これは利用しても大丈夫」という裏付けを理解しておくことで、エンジニアの開発効率を担保するとともに、作る側の安心感を与える役割もあります。」

ヤフー株式会社 CISO室セキュリティ・ディレクション室リーダー 戸田薫 氏ヤフー株式会社 CISO室セキュリティ・ディレクション室リーダー
戸田薫 氏

大津氏(ゲスト):「『これは利用しても大丈夫』という範疇」の話を補足すると、スキルを持っている人にとっては「何をすればよいかが分かるもの」、セキュリティスキルに自信がない人にとっては「よりどころになるもの」という2つの側面がガイドラインとしては求められます。

Node.jsのガイドライン策定においては、前者向けには理屈を明確にしたほうがよく「なぜmustなのか」「なぜ使ってはいけないのか」「選択可能だが最低限守る部分はどこか」という点を明確に解説できるようにしました。後者向けには理屈よりも、プロシージャ、つまり「採るべき手順・設定」を明確にして、ガイドラインの付属として、このような設定に従っていればセキュリティ的に安全なものが作れると示すかたちで提供しています。その結果、セキュリティのスキルを持つ方には「納得感がある」と、そうでない方からも「便利だ」という評判をいただきました。

セキュリティで最初に守るものは
「ユーザー」、そして「社会インフラ」「自社」

乗口:セキュリティ知識をそろえるための、もう1つの施策がセキュリティ教育になると思いますが、そのミッションはどのような点でしょうか?

日野氏(ゲスト):セキュリティ教育を含めた、セキュリティ施策全体の前提として、ヤフーが守るべきものは何かを考える必要があります。セキュリティの面においては、最初に守るのはユーザーです。ヤフーはさまざまな社会インフラにも影響するサービスを運営しているので、社会インフラを守る責任も担っていると思っています。そして、企業として事業を継続する必要もありますので、会社のことも守らなければなりません。

また、セキュリティ教育においては「全社員が自立的にセキュリティを意識して、業務を遂行できる状態を作ること」をミッションに据えています。ヤフーの社員には特徴があり、きちんと腹落ちをしたことはしっかり自主的に実行するのです。その代わり、腹落ちするまでは「これどうなっているの?」と実直に聞いてくるわけです。その腹落ちをしてもらうためにそうした問いにしっかり対応できるような教育を目指していきたいと常に思っています。単に「セキュリティ対策をしなさい」とうながす教育ではなく、「ユーザーのことを考えると、セキュリティが必要だ」と誰もが考えられるようにするための教育が大切だと考えています。

ヤフー株式会社CISO室セキュリティ推進室教育啓発チームリーダー ß日野隆史 氏<ヤフー株式会社 CISO室セキュリティ推進室教育啓発チームリーダー
日野隆史 氏

はせがわ:セキュリティ対策や教育の対象を広げると、担当部署が「コストセンター」だと社内から思われてしまうケースは少なからず耳にするのですが、どのように乗り越えたのでしょうか?

日野氏(ゲスト):機関投資家が企業に対する投資判断を行うときにも、セキュリティは非常に重要な要素の1つになっています。ここ数年、投資先企業の評価指標の中で「ESG(環境・社会・企業統治)評価」が重要視されています。これは環境、社会、企業統治を重視する企業が、持続的な成長や中長期的な収益につながり、従来の投資判断の基準となっていた売り上げや利益といった「財務指標」からは見えづらいリスクを回避するとの考えによるものです。

米国などでは、ESG評価が投資判断に影響を与えることはスタンダードな考え方になっており、日本でもESG評価の高い企業は、そうでない企業と比較して、株価の上昇率の平均が高いとの傾向も出始めています。
経営視点でいえばセキュリティを後回しにしていると投資や協力が得られない、という捉え方もあるのです。

乗口:セキュリティ教育のカリキュラムや、対象者の範囲はどのように設定されているのでしょうか?

SST 会長 乗口雅充(写真左)・SST 取締役CTO はせがわようすけ(写真右)SST 会長 乗口雅充(写真左)
SST 取締役CTO はせがわようすけ(写真右)

日野氏(ゲスト):セキュリティ教育においては、組織上の役割に合わせて最適化した教育コンテンツを提供しています。具体的には、「徳丸本」で知られるWebアプリケーションセキュリティの専門家である徳丸浩先生のような各セキュリティの世界で専門性の高いトップガンを起用してセキュリティの脅威を伝える講座の開催などが一例です。ニュースレターやeラーニングのような網羅性のある教育手法から、実際と同じシチュエーションでの体験をバーチャルな環境で行ったり、学んだことを人に教えたりといった定着率の高い手法を組み合わせて、一般社員、エンジニア、経営層など役割ごとに必須や選択可能なさまざまなコンテンツを指定しています。受講だけでなく「合格まで進めましょう」という方針で対象者に通知したところ、2020年度末には受講者100%、合格者99%まで到達しました。

また、「ユーザーを第一に守る」という視点に立って、教育の機会を社内のエンジニアに限定せず、グループ会社、業務委託社員や協力会社など社外の対象エンジニアにも広げていければと考えています。

対談ゲスト:ヤフー株式会社
ヤフー株式会社
  • システム統括本部 サイトオペレーション本部
    第10代ネットワーク・セキュリティ黒帯
    大津繁樹 氏
  • CISO室セキュリティ・ディレクション室リーダー
    戸田薫 氏
  • CISO室セキュリティ推進室教育啓発チームリーダー
    日野隆史 氏