トップインタビュー

物理とサイバーにまたがるセキュリティの取り組み--フォトシンスの小嶋CISO

國谷武史 (編集部)

2024-06-11 06:00

 物理とサイバーをまたがるIoTのセキュリティは、両方にまたがる広範な取り組みが求められる。IoT領域で事業を展開する企業は、どのように取り組んでいるのだろうか。スマートキーの入退室管理システム「Akerun」を手掛けるPhotosynthで最高情報セキュリティ責任者(CISO)を務める小嶋聡史氏に話を聞いた。

 Akerunは、ドアに設置するスマートロック装置と、ICカードやスマートフォンアプリで入退室管理を行うクラウドサービスで構成される。Photosynthは、Akerunを法人向けに提供し、国内で高いシェアを持つ。

Photosynth 最高情報セキュリティ責任者の小嶋聡史氏
Photosynth 最高情報セキュリティ責任者の小嶋聡史氏

 小嶋氏は、インターネットイニシアティブ(IIJ)やグリー、ランサーズ、DMM.com、ベルトラで、サービス開発や開発体制の整備、Site Reliability Engineering(SRE)や情報セキュリティの推進役として活躍。Photosynthには、2020年10月にテックリードとして入社し、SREを中心としたサービス基盤の強化に携わりながら、2022年7月からCISOを務めている。入社の動機は、「モノとインターネットの間にあるIoTを経験したことがなく、未知の分野に魅力を感じていた。知人から紹介を受け、これまでの経験を生かしてサービス品質やセキュリティの向上に貢献したいと考えた」という。

 同社でのセキュリティの取り組みについて小嶋氏は、可視化と定量的な評価を地道に積み重ねていくことにあると述べる。入社からしばらくは、Akerunなど同社のサービス、プロダクトの稼働率の改善といった品質の向上にSREで取り組み、そこではさまざまな指標とモニタリングを通じて、問題や課題の把握と分析、究明、改善策の検討や効果の検証などといった作業を丹念に繰り返してきた。

 「こうしたことは今では当り前だが、受動的でなく能動的に対応できるよう予測して先回りし、安定した稼働を実現する仕組みが重要になる。経営陣の理解も得ながら予算を確保し、PDCAのサイクルを通じて組織化、自動化、可視化の仕組み作りを進めている」

Akerunの構成(出典:Photosynth)
Akerunの構成(出典:Photosynth)

 まずアプリケーションやクラウドなど“サイバー”側のセキュリティ対策では、ツールを活用してセキュリティ状況の把握と可視化を効率的、効果的に行う仕組みを設けているという。

 ソースコードは「GitHub」上で管理しており、GitHubの「Dependabot」を利用して、依存ライブラリーなどの状態の把握と可視化、脆弱(ぜいじゃく)性の洗い出しなどを日々実施している。また、バックエンド側ではAmazon Web Services(AWS)を利用しており、AWSの「Security Hub」や「Trusted Advisor」などでセキュリティの制御(ガードレール)を実施している。AWSのセキュリティのベストプラクティスや米Center for Internet Security(CIS)の「CIS Controls」などを参考にセキュリティ状態のベースラインを規定して、自動的に評価している。

 こうした可視化の仕組みは、同社が利用しているクラウドサービスなどの各種ツールを活用することにより、短期間で構築することができたという。自社が取り組むべきセキュリティ対策も、標準化されたツールやドキュメントなどを活用することにより、明確に推進していくことができるとする。

 一方で、可視化の範囲が拡大し、粒度がきめ細かくなるほどに大量のアラートが生成される状況にもなる。小嶋氏は、「そこからが勝負になる。アラートは致命的なものばかりというわけではないため、トリアージを行ってプライオリティーの高いものから優先的に対応していく。リソースは限られるので、経営陣に説明をして協力を得ながら、地道に対応を進めていくことに尽きる」と話す。

 例えば、脆弱性への対応では、脆弱性情報で重要度が「High(中程度)」や「Critical(高)」に分類されるものに最優先で対処し、これらの脆弱性をゼロ件に近づける努力を重ねる。ただ、こればかりに追われていると疲弊してしまうため、多層防御も併用してセキュリティ対策全体のバランスも図ることで、無理なく取り組みを推進できるよう工夫しているという。

 「セキュリティの課題を一気に解決する方法はないので、仕組みしっかりと作り込み、できるところから取り組むことが肝心だといえる。セキュリティ対策は漠然といきなり大きな目標を立てても実行するのは難しい。可視化して確実に見えるもから優先的に取り組む。定量化してグラフにして見せて、その変化を共有すること。当社の規模では、取り組みを地道に積み重ねていくことに尽きる」(小嶋氏)

 同社のエンジニアは約40人で小規模だといい、1人が担当する範囲は幅広く、新たなサービスやプロダクトの開発を手掛けながらセキュリティの業務をこなしていくのは難しい。そのために小嶋氏は、ツールやベストプラクティスを活用してなるべく自動的に可視化と定量化を行える仕組みを整備し、可視化したセキュリティ状態に応じて、エンジニアが適切に対応できる体制を構築した。

 開発においても、IoTのセキュリティガイドラインといった世界中のさまざまな指針をもとにベースラインを整備しており、これを順守した開発プロセスに努めている。

 同社では、全社員が参加する毎月のミーティングの中でセキュリティの状況を全社員に周知しており、脆弱性件数の推移といった分かりやすい指標をグラフで分かりやすく報告して、共有を図っている。「セキュリティを推進する上で人の要素は大きく、開発も営業も含め全社でセキュリティ意識の向上を目指している。危ないのか、どう危ないのかを分かりやすくすることが大切で、定量化してグラフにすれば、セキュリティに詳しくない人もそれを見れば理解しやすい」(小嶋氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]