私たちはリスクに、そしてビジネスにどう向き合うべきか岡田良太郎氏がヤフーの情報セキュリティ責任者に聞く、試行錯誤の道のり

 検索・ポータルサイトにショッピング、オークションや決済サービス、広告など幅広いサービスを展開するヤフーにとって、セキュリティは避けては通れない課題だ。

 ただ、やみくもにリスクを怖がるだけではビジネスは成長しない。そこで同社は、最高情報セキュリティ責任者であるCISOが率いるCISO室のほか、各事業を担う統括部門に「情報セキュリティ責任者」を設けて一部の権限を委譲し、CISO室と事業部が連携しながら対策に当たることで、効率性やスピードとリスクのバランスを取りながら安全・安心なビジネスの提供に取り組んでいる。

 とはいえ、この取り組みを実現するには、一言では言い尽くせないさまざまな工夫や試行錯誤があった。CISO室セキュリティ推進室でリスクアセスメントを担当する佐滝知彦氏、メディア統括本部統合プラットフォーム本部 に所属し広告領域のセキュリティを担う原昌巳氏、ショッピング統括本部 プロダクション2本部に所属しショッピング領域のセキュリティを統括する常澤邦幸氏に、OWASP JapanやHardening Projectといった活動を通して、どのようにリスクに向き合い、セキュリティとビジネスの両立を図るかを考える場を提供しているアスタリスク・リサーチの岡田良太郎氏がずばり尋ねた。

「セキュリティ相談」に「#slack上に報告部屋」、気軽に話せる場を用意

 Yahoo!ショッピングを担うショッピング統括本部は、ヤフーの中でもかなり大規模な部隊だ。設立当初の2013年頃はエンジニアが30人弱ほどだったが、「コマース革命」戦略もあり規模が拡大し続け、今では200人弱のエンジニアをはじめ、統括本部全体では500人以上が所属している。PayPayやLINE、あるいは配送周りでパートナーを組むヤマト運輸など、パートナーとの連携も重要なミッションだ。

 その中でセキュリティマネジメントを実現していくため、社員がさまざまなサービス開発時にセキュリティの観点で気軽に聞きにいける「セキュリティ相談」という場を設けている。

 「企画や設計の段階から『セキュリティについて確認しよう』という形で設けています。これは全社でやっていますが、特にショッピングでは古く、気軽に話ができる場となるよう心がけています」(常澤氏)。実際にはセキュリティと法務、プライバシーに関わるデータ関連の相談をセットで行うことが多いという。

ヤフー株式会社 ショッピング統括本部 プロダクション2本部注文決済技術部 部長 常澤 邦幸氏
ヤフー株式会社
ショッピング統括本部
プロダクション2本部注文決済技術部 部長
常澤 邦幸氏

 「日常的にセキュリティを相談できる状態をどのように作ってきましたか?」との岡田氏の問いに、常澤氏は「ショッピング統括本部の中で、さらに各組織の部長に『セキュリティ委員補佐』というセキュリティ担当を必ず1人選出してもらい、脆弱性の対応からeラーニングまで、日頃発生するさまざまなセキュリティ関連の仕事を舵取りしてもらう体制にしています。それが功を奏していると思います」と答えた。

 Yahoo!ショッピングでは、クレジットカードなどの決済情報や、顧客の氏名、住所と言った個人情報の取り扱いを避けては通れない。これらの情報は、他よりも慎重に対策をしており、特に設計で何らかの手が入る際には、注意して見るようにしているという。

 こうしたノウハウの蓄積もあり、セキュリティインシデント発生時も、本部長が陣頭指揮を執り、スムーズな指揮系統の下で対応に当たることができた。対応メンバーがCISO室が主導して実施するセキュリティ訓練に参加していたことも、功を奏したという。

 「事前にインシデント発生から対策を打つまでの動き方のフローを作っておいたことも、スムーズに対応できた要因だと思います。インシデントからの学びを踏まえてフローを改善したり、次の対策に生かしたりしています」(常澤氏)

 組織やプロセスもそうだが、常澤氏はさらに「ショッピングサイトなのに購入ができなくなってしまうなど、これまでのいろいろな過去の経験を経て、いざという時に誰に連絡し、どう動くべきかといった判断ができる文化が自発的に醸成されてきた部分があります。今回の取り組みもその延長線上にあると思います」と、文化の蓄積も大きく寄与していることに触れた。

 もう一つユニークな取り組みがある。社内の重要なコミュニケーションツールであるSlackに設けた「#報告部屋」だ。「『ここ、表示おかしいんじゃない?』『何か動かないよ』といったメッセージを投稿すると、担当者に関係なく気が付いた人が、『これどうなってるの』と対応を始める動きができています」(常澤氏)

 岡田氏は、「そうした動きができているということは、皆さん、仲がいいんですか?」と問いかけ、常澤氏は「そこは請け合います」と、組織長も含めて求心力を持ちながらセキュリティ維持に取り組んでいると断言した。

 今後は、システムをより強化し、「超PayPay祭」のようにアクセスや注文が殺到した時にもシステムが落ちることなく稼働し続ける仕組み作りを進めていく方針だ。もちろん、ショッピングならではの重要な情報の保護体制も変えることなく追求していく。アクセスの正当性や安全性の確認を各所で行い、ゼロトラストに近づけていくなど、守るべきところを守りつつ、新たな挑戦に取り組むという。

変化する広告への要請に応えつつ、統制の文化を醸成

 Yahoo! JAPANのさまざまなコンテンツ上に広告を表示するシステムを扱うのが、原氏の所属するメディア統括本部だ。常澤氏が担当するYahoo!ショッピングはもちろん、あらゆる事業分野にまたがって広告を配信する、同社の収益においても非常に重要な役割を担っている。

 原氏は、広告分野ならではの特徴として、「ユーザーの個人情報は基本的にすべて仮名化した上で処理しているので、ショッピングで扱うような性質の重要情報を扱う機会は少ないです。そのためセキュリティ対策は、システム全体が止まらず稼働し続ける可用性を確保しながら、いかに安全にそれらの情報を利活用するかに重きを置いています。この点で他の事業部と少し異なるでしょう」と説明する。「1分止まったら損失額が幾らか?」といったシビアな世界の中でシステムを動かし続け、起きた問題を迅速に見つけて報告し、スピーディーに初動対応することがポイントになっているとした。

ヤフー株式会社 メディア統括本部 統合プラットフォーム本部 IT Performance部 InfoSec リーダー原 昌巳氏
ヤフー株式会社
メディア統括本部
統合プラットフォーム本部
IT Performance部 InfoSec リーダー
原 昌巳氏

 セキュリティ面で留意しているポイントは、広告自体に対するサイバー攻撃も課題だが、「不正利用」の課題も大きいそうだ。広告は、各事業部が運用・防御しているサービスにプラグインのような形で差し込まれてくるため、フィッシング詐欺や不正ソフトウェア配布に広告が使われてしまうケースには敏感だという。

 また、「プライバシー」がもう一つの課題にあるという。「社会的な要請としてのプライバシーやデータの取り扱いを巡る動きも変化しています。かつてはCookieを使って本人特定ができましたが、いま広告を巡ってこの部分が大きく変動しています」という岡田氏の指摘に、原氏も「Intelligent Tracking Prevention(ITP)への対応は、少し前に社内でも大きな課題となりました」と応じた。

 例えば、Appleでは、Cookieを使ったトラッキングを制限すべく、ITPというトラッキング防止機能をウェブブラウザーに搭載しました。「リスクを管理する側としては反省すべき点ですが、まだ影響が大きくなかった頃よりエンジニアからその予兆について情報が上がってはいたものの、結果的には影響の拡大に合わせて対策を進めることになりました。その当時の経験も踏まえ、現在では、予兆をキャッチする仕組みを充実させるなど、課題にいち早く対応できる体制を整えています。」(原氏)

 このように同社の広告事業には、さまざまな社会的要請も踏まえ、より幅広い問題への対応が求められる。コロナ禍の影響もあり在宅で勤務する社員が多い中、スピーディーに、かつクオリティーを担保しながらそうした問題に丁寧に対応するのは困難だが、ここでも長年少しずつ醸成してきた「文化」がものを言っていると原氏は述べた。

 「IT統制や法規制への対応についても同様ですが、歴代の担当者が『開発統制をしっかり行うべきだ』とずっと言い続けてきました。その文化が根付き、スピードは大事だけれども、『スピードを優先するあまり、セキュリティや開発フローの統制をおろそかにしてはいけない』という認識が共有されています。それに基づいて、各部から選出されたセキュリティ担当者が、現場の特性に応じた細やかな対応をしてくれる体制がとれていることも大きいと思います。」(原氏)

誰がやっても同じに。リスクの定量化にチャレンジ

 こうして見ると、同じ会社内でもそれぞれの事業分野の「何をリスクとして考えるか」はこれだけ違ってくる。それ故に、リスクがビジネスに与えるインパクトをどう評価するかについても、見る人によってばらつきが生じがちだ。

 佐滝氏は、「CISOがよく言うことですが、リスクは可視化・定量化しないと分かりません。どれだけリスクが高いのかが分からなければ、何となくリスクが高そう・低そうという印象論でしか語れなくなってしまいます」と指摘する。

ヤフー株式会社 CISO室セキュリティ推進室リスクアセスメント 佐滝 知彦氏
ヤフー株式会社
CISO室セキュリティ推進室
リスクアセスメント
佐滝 知彦氏

 そんな問題意識から佐滝氏は、リスクの数値化、定量化に取り組んでいる。「リスクがあっても、メリットがそれを上回り、且つ、リスクがクリティカルなものでなければ受容して事業とセキュリティのバランスを取るのがあるべき姿です。ただ、いろいろな統括本部から『こんなことをやりたい』と話が来た際、リスクに対する考え方やリスク値が違っていると、判断がゆらいでしまう恐れがあります。そこで、誰が算出をしても同じ基準になるような方法で定量化することが今の私のミッションです」(佐滝氏)

 言葉にするとシンプルだが、岡田氏は「そんなことってできるんですか?」と鋭く切り込む。佐滝氏によれば、実際には試行錯誤しながらチャレンジしている最中だという。

 「情報セキュリティマネジメントシステムの認証を取得していたこともあり、以前からヤフーには、発生確率と発生した時の影響度を掛け合わせてリスク値を算出するフローがありました。ただ、やっぱりその数値も算出する人によってずれてしまっていました」(佐滝氏)

 何らかのリスクの発生確率を算出するにしても、ある人は「1年に1回と捉えるし、別の人は「今にもすぐ起き得る」と捉えるかもしれない。リスクが顕在化した時のインパクトも同様で、100万円程度と見積もる人がいれば、もしかしたら数十億円の被害につながるかもしれないと考える人もいる。つまり「定量化」はしてみたものの、人によって数字が異なってしまうことが課題だった。

 そこで佐滝氏は、IT製品の脆弱性の深刻さを数値化する共通脆弱性評価システム(CVSS)なども参考に、リスクの発生確率や発生したときの影響後を数値化する際のロジックを策定した。例えば発生確率を算出するならば、「攻撃元の区分はどれか」「攻撃の条件はどうなっているか」といった具体的な事柄を基準に指標を付けられるようにし、リスクやセキュリティ脅威の専門家ではない人が点数を付けても、概ね同じ数値になる基準を作成した。

図1:リスク評価の方法
図1:リスク評価の方法

 さらに、算出したリスクに対して何らかの対応を取った結果、リスク値がどのように変化するかを算出できるマトリックスも作成した。「リスクはゼロにはできませんが、減らすことはできると思います。マトリックスを使って、対策を講じればリスクの発生可能性の値を下げ、リスクの受容ラインを下回ることができるといったことが視覚的に分かります」(佐滝氏)

 岡田氏は、佐滝氏のこの取り組みを脅威分析になぞらえて、「納得感のある仕組み」と評価した。その上で、さらに「リスクを見積もり、対策を取ってコントロールしても、インシデントは起こり得ます。そのインパクトを踏まえ、振り返りながら分析すれば、『このリスクの見積もりは甘かったな』といった気づきが得られるのではないでしょうか」と、アップデート可能な指標のあり方について提案した。

 佐滝氏にとって岡田氏のこの指摘は「我が意を得たり」だという。「リスクの定量化をスタートしたのがつい最近(2021年5月)のことで、ご指摘された部分はまさに今後の課題です。発生したリスクの値と見積もりにギャップがなかったかどうか、フィットアンドギャップを行うことで、より差異の少ないリスク値の算出を可能にしていくことが必要だと思います」(佐滝氏)

 事業リスクを考えていく上で、「人の成熟度」も重要な観点になる。「成熟度合いによって、チームメンバー全員が見までにとても時間を要して対応が遅れてしまう場合があれば、メンバーの成熟度が高く、発見が早く、影響範囲が小さく収まる場合もあります。その意味で、教育や訓練、リハーサルによるリスク対策はかなり効果があると思います」(岡田氏)

 佐滝氏は、その点も織り込み済みで、実はリスク値の計算式に、「リスク対策として何をしているか」によって係数が変わる仕組みを含めている。「何も対策していない場合、ルール作成だけの場合、ルールを作りきちんと守られているか定期的に監査している場合、技術的な実効性のある仕組みの導入がなされている場合等で、異なる係数が適用されるようになっています。」(佐滝氏)

図2:リスクプロット様式
図2:リスクプロット様式
アスタリスク・リサーチの岡田良太郎氏
アスタリスク・リサーチの岡田良太郎氏

 この工夫に岡田氏は、「セキュリティを担うメンバーの成熟度合いによってリスクを下げられることが分かれば、トレーニングやリテラシー向上の動機付けになるでしょう。また、システムに脆弱性を作り込まないようにしたり、問題が起きたら早く分かるような仕組みを作ったりするなど、モノを作る側の意識にも影響してくるのではないでしょうか」と述べる。こうした取り組みは興味深く、意義あるものだと評価した。

 岡田氏はさらに、「セキュリティリスクについても災害のハザードマップのようなものがあるべきなのかなと思います。同じ降雨量でも堤防の作りによって洪水発生のリスク値は変わってきます。それと似たように、同じ脆弱性でも対策内容やメンバーのフットワークによってリスク値が変わってくるでしょう」と述べた。そして、自治体がハザードマップを公開するのと同じように企業も今のIT資産のリスク状態を開示することで、企業側とステークスホルダー間の情報の非対称性が解消され、非現実的なセキュリティの無事故を目指すのではなく、「備えよ常に」というセキュリティの姿勢を共有できるのではないかとした。

社内のせめぎ合いを乗り越え、燃え尽きを防ぐために必要なもの

 「何も起こらないのが当たり前、何かあったら怒られる」がセキュリティ担当者の日常だ。ヤフーのCISO室は、もう一つ別の取り組みも進めている。各事業本部の情報セキュリティ責任者一人ひとりの活動についてKPIを設定して評価し、可視化する取り組みを始めている。情報セキュリティ責任者全体で成果を見るのではなく、「eラーニングの受講率」「管理状況」といった統括本部ごとのセキュリティに関する取り組みを確認し、それぞれの改善状況を見ていく作業を開始した。「これにより、情報セキュリティ責任者のなかでも、よりセキュリティ意識高く対応いただいている方がひと目でわかるようになります。そういった方々が実施している施策について水平展開すべく、情報セキュリティ責任者が参加する勉強会を開きたいと考えてます。そして、特色のある各統括本部の施策を水平展開し、全社でセキュリティの底上げを目指したいと思っています。」と佐滝氏は語る。

 さらに、CISO室と連携する情報セキュリティ責任者の中から、素晴らしい取り組みを行ったメンバーを表彰することも始めた。「頑張っても褒められない状況を変え、しっかり褒めていこうとしています」と佐滝氏。この取り組みをさらに拡大し、「脆弱性をたくさん報告してくれてありがとう」といった具合に、社内のセキュリティ貢献者を表彰する取り組みにもチャレンジしている。

 岡田氏によると、CISOやセキュリティ担当者には「2+1」の課題があるという。

 「1」は、サイバー攻撃者との戦いだ。これと同時に、身内とのせめぎ合いという、もう「1」つの課題に直面する担当者が少なくない。

 さらに、持続可能な対策を妨げる要因が「バーンアウト」(燃え尽き)だという。「攻撃者の戦いによることもあれば、身内とのせめぎ合いによることもありますが、自分たちでは対処し切れないことがあまりに多すぎると、当然ながら燃え尽きてしまいます。自分たちのモチベーションを維持し、燃え尽きを避けていくことが大事です」と岡田氏は述べる。状況の共有や他者の理解、協力への感謝といった事柄がセキュリティ担当者の燃え尽きを防ぐ上で重要だと説明する。

 ヤフーももちろん、サイバー攻撃者との戦いだけでなく、身内とのせめぎ合い、そして、燃え尽きとの戦いといった課題と無縁ではないセキュリティ担当者はほとんどいない。

 例えば原氏は、「成長したい、突き進みたいという事業の本能はもちろん尊重しなければいけませんが、セキュリティ担当者としてはちょっと違う軸で整理しなければいけないこともあります」と話す。そのために事業担当者と“戦う”のではなく人間関係を築き、必要なことを納得してもらうことが、セキュリティ担当者としての楽しみにもなっていると振り返った。

 常澤氏も「セキュリティに関する相談が集中してしまうと、担当者も疲れてしまいます」と率直に述べるが、その上で残留リスクを取りまとめ、どんな対策をすれば、あるべき姿に近づいていけるかを事業担当者と共有したり、早いタイミングで相談をもらったりするようにしているとポイントを披露した。

 こうして「互いに話し合って、セキュリティ周りの懸念もない状態で無事に案件が進んでいくと、船出を見送ったような心境になります」(常澤氏)

 リスクを定量化し、コントロールし、かつチームの組み方を工夫することで、技術者の開発の自由度を最大化し、しかもセキュリティ担当者の燃え尽きを防ぐこと可能だ。そんな要件を満たすべくヤフーでは、試行錯誤しながらも壊れない、安全・安心なサービス作りを目指している。

 「多様性と凝集性がある中で大変なこともありますが、それを楽しみつつ、信頼を勝ち得ている取り組みが素晴らしいと思います」と岡田氏は述べ、今後のさらなる取り組みに期待を寄せた。

この記事を読んだ感想をお聞かせください。
回答者の中から抽選で10名にQuoカード(3,000円分)をお送りいたします。
アンケートに回答する
提供:ヤフー株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2021年11月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]