セキュリティと利便性の両立を常に考える

神戸: 貴社の事業とセキュリティの運用体制について教えてください。

松田: 当社は、クラウド名刺管理サービスとして、法人向けのSansanや個人向けのEightのほか、最近では、クラウドで請求書を受領できるBill Oneというサービスを展開しています。Sansanは7,000社超、Eightはプロフィール登録ベースで約280万人が利用していて、サービスに関わる部分は100%クラウドです。裏では軽く1,000を超えるサーバーが動いています。 私自身は、CSIRTとして全社的なセキュリティの管理を担っていますが、各事業部には専任でインフラの運用管理をしているメンバーがいます。インフラメンバーにはミッションに応じてCSIRTを兼務してもらうことで、セキュリティを担保する組織体制になっています。

神戸: プロダクトのメンバーと一緒にやることでセキュリティを自分事として捉えてもらっているということですね。

松田: はい。当社は 「セキュリティと利便性を両立させる」 を企業理念としています。プロダクトサイドで何か新しいことを始める際には「CSIRTはどう思いますか？」と聞いてもらえるような関係を構築したいと思っています。そうすることで、現場の動きを踏まえてCSIRTの戦略を立てることができますし、現場にもCSIRTの方針が伝わりますよね。

CSIRTプランの誕生～要望をスピーディに実装化

神戸: 御社にFutureVulsを導入いただいたのは、インフラ担当の方が、オープンソースのVulsを使ってくださっていたのが始まりですね。その後、一事業部にFutureVulsのスタンダードプランを導入いただいて、2年前、CSIRTプランができたタイミングで全社的な導入に移行いただきました。

松田: ここ数年、会社の知名度も上がってきたことで攻撃の標的になるリスクも高くなってきました。FutureVulsを使い始めたのは、事業部でインフラを担当しているメンバーの自発的な動きからで、その事業部にスタンダードプランを導入していました。やはりセキュリティは最初に力を入れて基準や運用をしっかり整備しておかないと、後からやるとものすごくコストがかかるんですよ。なので、CSIRTが全社的に脆弱性管理を担うということでCSIRTプランへと移行しました。

神戸: FutureVulsのスタンダードプランは、特定のチーム「内」で脆弱性管理をしていくことを目的としています。一方、CSIRTプランはグループやシステム横断でCSIRTと現場とが協調しながらFutureVuls上で全社的な脆弱性管理を運用していくのを想定しています。CSIRTプランの開発時には、松田さんにいろいろなご意見をいただきました。

松田: 神戸さんを中心に御社のメンバーが丁寧に要望をヒアリングしてくれました。トリアージの機能や通知の仕方、何か起きたときにどのサーバーにどのソフトウェアが入っているのかを瞬時に一元化して表示するなど、こういうのを実装してほしいとリクエストしましたね。しかもそれを実装するまでのスピードがとても速くて、すごい開発力だなと思いました。実はそこも選定ポイントの一つでした。最近も、検知した脆弱性の攻撃コードの信憑性を画面上に表示してほしいと要望したところ、すぐに実装してもらえました。こうした現場レベルの声が開発者に直接届くのは、FutureVulsのすごいところだと思います。

神戸: ユーザの皆さんに、より便利にお使いいただけるよう、改善のための開発は日々行っており、毎月の頻度でバージョンアップリリースを実施しています。今後も継続的にサービスを進化させます。

社内の危機管理意識が向上し、業務負荷は3時間から10分に

神戸: CSIRTプランを導入してから実際どのような変化がありましたか？

松田: FutureVuls導入前は脆弱性の情報を集めるのに一生懸命でした。今は業務自体の質が良くなったうえ、業務時間もかなり短縮できています。おかげで、本来CSIRTとしてやるべきセキュリティ戦略の企画、立案を中心に正しい時間の使い方ができるようになりました。 また、100％というわけではありませんが、 社員、開発者、エンジニアの脆弱性に対する意識も変わった かなと思います。エンジニアからも「こういう脆弱性を見つけたんだけど大丈夫？」といった質問も来るようになりました。

神戸: それは嬉しいですね。業務負荷の削減効果はどうでしょうか？

松田: FutureVulsを最初に導入した事業部では、 脆弱性管理の運用に1日3時間は充てていたと思います 。もしそれを全事業部でやっていたら更に工数がかかっていたでしょう。でも、 CSIRTプランを導入したことによって、我々CSIRT部門の誰か一人が1日10分くらい対応すれば済むようになりました。 それくらい効率化されています。具体的な作業でも、様々な機能を使っているおかげで体感的にはこれまで1,000くらいあった脆弱性のうち、900くらいが一瞬でさばけるようになったと思います。残った100件は優先順位をつけて精査していくわけですが、精査していく上で必要な情報は既にFutureVulsの画面上に表示されているのでそれをベースに対応すれば負荷になりません。

神戸: かなり効果的に使っていただけていますね。CSIRTプランの自動非表示、自動トリアージ機能は、CSIRTが決めたルールを基にして脆弱性のリストを自動で消し込んでくれるので、優先してリスクの高い案件に注力できます。

加速度的な時代変化に脆弱性管理の効率化は必須

神戸: 日々の運用はどのようにされていますか？

松田: 基本的にはCSIRTのメンバーが中心となって脆弱性をチェックしていますが、各事業部のインフラ担当のCSIRT兼務者にもアカウントを発行し、対応の緊急度やリファレンス情報などをいつでも共有できる運用体制にしています。各事業部へFutureVulsを導入するにあたっては、脆弱性管理を2つの工程に分けて考えています。まずは、パッチを常に適用してもらうことを事業部のメンバーに依頼して、FutureVulsはそれを確認するという流れです。

神戸: きちんとパッチがあたったかというのも追跡画面で瞬時に把握できるので、CSIRTの方々にとっても追跡は楽ですよね。

松田: 運用ルールも負荷を軽減することを前提に設計してきたので、通知の内容によっては、毎朝脆弱性をチェックすることもあれば、一週間見ないということもあります。Slackに連携する機能もリリースされたので、Slackで赤い通知が来た時には必ず確認するといった運用フローになっています。今日やらないといけない脆弱性の対応なのか、次回の定期メンテナンス時の対応でいいのかといった判断も非常に楽になりました。

神戸: 最後に、FutureVulsはどういった会社にお勧めだと思いますか。

松田: 私は脆弱性管理のポイントは、いかに日々の運用に負荷をかけない体制構築をするかだと考えています。どういう意味かというと、この10年を振り返っても、ソフトウェアの数は急激に増えています。その分、当時よりも今の方がずっと脆弱性が増しているわけで、これが2030年になったらまた更にソフトウェアも増え、脆弱性も増します。そう考えると、現状の管理でいっぱいいっぱいになっていたら、今後運用は破綻します。なので、いかに手間をかけずに効率的に対処していくかが、脆弱性管理に対する必須の課題だと思っています。脆弱性管理をきちんとやっている日本企業の多くはまだ管理に対してすごく時間を割いていると思います。しかし、 加速度的な時代変化を考えると、なるべく負荷を軽減し、日々運用できるような体制を今から作っておくことが必須 です。その体制づくりに一番効果的なのがFutureVulsだと思っています。今の日本企業の課題に対してきちんと向き合っているところがFutureVulsの魅力ですね。