「運用で頑張るのは嫌い」元ヤマハの原子氏
特別講演には、ラック(LAC)のセキュリティ・コンサルティング部でエバンジェリストを務める原子氏が登壇した。原子氏は1991年にヤマハ発動機に入社し、情報システム部門で26年間にわたって、インフラ・アーキテクチャ全般の企画を担当。ヤマハのCSIRT「YMC-CSIRT」リーダーのほか、日本シーサート協議会(NCA)運営委員も務めた。
原子拓氏
ラック(LAC)
セキュリティ・コンサルティング部 エバンジェリスト
地元消防団の班長として"リアル"インシデントと戦ったり、AWSのユーザーグループやKintoneのユーザーコミュニティに参加したりと、ユーザーとしても積極的に活動してきた。そんな同氏のモットーは「運用で頑張るのは嫌い。ITで楽をしたい。どうすれば楽をできるか考える」ことだという。
原子氏はまず、ラックが提供するJSOC(セキュリティ監視センター)やサイバー救急センター(セキュリティインシデント対応部隊)から、最近のインシデントの動向を解説した。それによると、JSOCへのコールは平均70件/月、サイバー救急の出動要請は2016年に約400件/年(1日当たり約1件)に達する。
「出動理由のうちウェブサーバ関連は20%を占めます。インターネット初期の頃から無くならず、ずっと脅威であり続けていて脅威がおさまる気配はありません」(原子氏)
そのうえで原子氏は、1997年からヤマハがどのようにサイバー脅威に対抗してきたかを振り返った。ヤマハの取り組みは、大きく4つのフェーズに分けられる。
WAFで対策の時間を稼ぎ、CSIRTで継続的な運用を
フェーズ1では、初めてのウェブ改ざんを受けて、OSやミドルウェアを中心に脆弱性診断を実施し、ガイドライン策定に取り組んだ。ただ、ウェブサイトの管理は各国任せだったこともあり、ガイドラインが守られなかったり、業者に丸投げしたりして「本社側の空回りが続いた」という。オーストラリアのECサイトがSQLインジェクションを受け、情報漏えいも起こった。
そこで、2006年からのフェーズ2では、ガイドラインと脆弱性検査を見直し、アプリケーションも対象にして、体制・検査を強化した。アプリ開発にセキュアコーディング(出荷前判定実施)を取り入れ、年次のセキュリティ診断を月次に改めた。拠点ごとのIT部門が連携できる体制づくりも進めた。
ただ、これら「強化策」でも、ガイドラインが守られなかったり、業者に丸投げが起こったりした。また、運用面での課題として、例えば、インフラのパッチ適用が業者まかせになり適用されなかったり、パッチを適用するとアプリが動かなくなったりした。「パッチを考慮してアプリが作られていませんでした。改善要求してもなかなか対策が進まない状況でした」(原子氏)
2010年からフェーズ3では、グローバル展開を意識して、クラウド型のWAF(Web Application Firewall)導入に取り組んだ。原子氏は「WAFはパッチ運用やアプリ改訂などの脆弱性対策をしなくても対策ができます。脆弱性対策を行うまでの時間を稼ぐことができ、実際にインシデントを激減させることができました」と振り返る。
そして、2013年からのフェーズ4では、ウェブセキュリティ施策の抜本的な見直しに着手しつつ、脆弱性対策やインシデント対応を推進する組織としてCSIRTを設置した。
最後に原子氏は「ウェブ改ざんを防ぐためには、運用を考慮したウェブサイト構築が必要です。また、WAFはウェブサイト運用の協力な味方になります。とはいえ、脆弱性はゼロにはなりません。CSIRT体制を構築し、パートナーやベンダーと協力しながら対策を推進していくことが大切です」と述べ、講演を締めくくった。
