脆弱性の無いシステム開発を支える縁の下の力持ち:楽天のインターネットビジネスを支えるエンジニア向けセキュリティ教育の舞台裏

国内有数のインターネットサービス企業である楽天は、システム開発の大半を自社で行っており、脆弱性の無いシステム開発を実現するために三井物産セキュアディレクション(MBSD)が提供するエンジニア向けのセキュリティ教育サービスを活用している。セキュリティ教育を導入した背景とその活用について、ITmediaエンタープライズ発行人の浅井英二が聞いた。


 1997年に創業した楽天は、インターネットショッピングモール「楽天市場」や個人向けオークションサイト「楽天オークション」、総合インターネットポータルサイト「インフォシーク」、インターネット証券取引サービス「楽天証券」をはじめとする多彩なサービスをインターネットで提供する。5000万人の楽天会員を抱える同社にとって、Webシステムはグループ全体の事業を支える最重要インフラであり、万が一システム障害などが発生すればサービスに多大な影響が生じる。

 同社ではWebシステムの大半を社内で開発しており、協力会社も含めたエンジニアのスキルが完成度の高いサービスを迅速に提供できるかどうかを大きく左右する。特にインターネットサービスのセキュリティ対策は重要課題の1つであり、同社では以前からエンジニアにセキュリティ教育を実施しているが、2007年からセキュリティスキルのさらなる向上を目的に三井物産セキュアディレクション(以下、MBSD)の教育サービスを導入した。

 この教育サービスは、Webシステムを開発する際にエンジニアのミスで生じる可能性が高いSQLインジェクションやクロスサイトスクリプティングなどの脆弱性を無くすために必要な方法を実践的に紹介するとともに、それが本当に正しく理解できているかどうか理解度を測るセキュリティ試験で構成される。

 楽天が同サービスを導入した背景やその利用について、ITmediaエンタープライズ発行人の浅井英二が、楽天開発部開発環境整備課セキュリティグループマネジャーの福本佳成氏とMBSD技術部セキュリティアセスメントグループマネジャーの国分裕氏に聞いた。

修正作業は多大なコストと負担が伴う

mbsd1.jpg 楽天開発部開発環境整備課セキュリティグループマネジャー、福本佳成氏

浅井 楽天がシステムセキュリティを重視する背景には、きっかけとなることがあったのでしょうか。

福本氏 サービスの規模が大きくなるにつれてWebシステムの重要性が徐々に高まりましたが、システムセキュリティについては創業当時から重要な分野だという意識を持ち続けています。インターネットサービスにとってインターネットはビジネス基盤なので、そこにセキュリティ対策をするのは当然のことです。特にエンジニアのセキュリティ教育は効果の高い対策ということもあり、早い段階から継続的に取り組んできました。

 セキュリティ対策で大切なことは、システムを開発する最初の段階から脆弱性を作らせないということです。エンジニアはプログラミングに対するスキルを持ち合わせていても、セキュリティの知識が足りない場合もあるので、個人のスキルに依存するのではなく、企業責任としてエンジニア全員に正しい知識を教えることが重要だと考えます。

 楽天のセキュリティ対策は、開発したシステムに脆弱性が無いかどうかを確認するシステム監査とセキュリティ教育が比較的大きなウェイトを占めています。セキュリティ教育の仕組みを整える以前は、システム監査をするとシステムへの修正作業が度々発生していました。当然、脆弱性の修正には作業コストが掛かります。また、修正するために必要な対策方法をエンジニアに説明するのもかなりの工数がかかっていました。その経験から、システムを後から直すよりもなるべく脆弱性を作らせないための仕組みをどうすべきか考えました。

浅井 カリキュラムを作る上で、脆弱性を無くなるようにするための技術解説を網羅し、セキュリティ試験までを盛り込むというのは非常に大変だったのではないでしょうか。

福本氏 優れたカリキュラムを作るだけではなく、現場や経営層にも納得感のある教育の仕組みまで仕上げるのは大変でした。また、今でも継続して改善し、さらに良いものにしたいと思っています。

 カリキュラムについてですが、実効性が伴ったものでなくてはなりません。また、セミナーを受講しただけでは実力が身についている保障はないので、実効性を高めるためにセキュリティ試験を併用しています。これは業務をする上で合格することが求められるものです。

浅井 情報セキュリティ教育の試験というと、学んだことを確認することを目的にしたものが多いと思いますが。

福本氏 学んだことが現場で生かされることを重視していますので、セキュリティ試験の内容はきちんと予習をしてセキュリティセミナーの内容を理解しなければ合格できないものになっています。

mbsd4.jpg エンジニア向けセキュリティセミナーの様子

 セキュリティセミナーとセキュリティ試験は、すべてのプログラマーが対象になります。脆弱性を作らないようにするためにも、当社で働くための必要最低限の条件としてセキュリティをしっかりと学んでもらっています。

浅井 エンジニアも含めて多くの人がセキュリティ対策は難しいものだと思いがちですが、セキュリティ教育の仕組みを浸透させていく上で苦労はありましたか。

福本氏 もちろんさまざまな苦労はありますが、基本的には会社としてインターネットセキュリティの必要性については十分に理解しているので、進めやすかったのかなと思います。楽天グループは数年前まではシステムのセキュリティ対策を各社が独自に実施していたのですが、経営層からグループ全体で取り組みを強化していく必要があるとの方針も出され、今ではわたしの方で取りまとめてグループ共通の内容で対策を実施しています。

脆弱性を生ませないというアプローチ

mbsd2.jpg 三井物産セキュアディレクション技術部セキュリティアセスメントグループマネジャー、国分裕氏

浅井 MBSDではどのような経緯でエンジニア向けの教育サービスを始めたのでしょうか。

国分氏 当社は2001年からシステムの脆弱性を検査する監査サービスや、セキュリティポリシーの作成などを支援するコンサルティングサービスを提供しています。さまざまな案件を通じて、完成したシステムをもう1度作り直すというのは非常にコストのかかる作業だと感じていました。

 なるべく設計や開発などの前工程において脆弱性を発見したり、修正したりできるように、品質のチェックリストやエンジニアへのレクチャーを併せて提供するようになったのが背景にあります。

 セキュリティ対策というと、一般的には脅威に対して備えるという対処療法的なアプローチが多いのですが、脅威や攻撃のタイプが新しくなればなるほど、守る側の負担が増していくばかりで、「いたちごっこ」の状態が続くことになります。

 どのように開発をすれば脆弱性を減らすことができるのかという点を突き詰めて考えていくと、実は正しいプログラミングを当たり前のものとして実装していくことが一番大事だという結論に至りました。教育ではその点を重視して解説するようにしています。対処療法的な対策に比べると派手さに欠けるかもしれませんが(笑)。

浅井 楽天がMBSDを選んだポイントはどのようなものでしょうか。

福本氏 場当たり的な対策ではなく、本質的な考え方で脆弱性を排除していくアプローチですね。その部分で、わたしと国分さんとの意見が一致したのが大きかったです。世の中のセキュリティ教育サービスは参考資料などを見る限り、特殊な問題を難しく解説しているものが多いように思えますが、実は対策方法なんてシンプルなんですよね。それにMBSDさんが高いセキュリティ技術があることは知っていたので、ここなら信頼して重要な業務をお願いできると思いました。

 MBSDには多数の要望を出していますが、いろいろと柔軟に対応してもらっています。わたしのリクエストは無理難題ばかりかもしれませんが(笑)。本当に助かっています。

国分氏 以前からのサービスを通じて脆弱性を作らないための教育を広めたいと考えていましたので、楽天様のようなセキュリティへの意識が高い企業が現れたことで、多くのエンジニアに教育サービスを提供できたことをうれしく思っています。

 わたしたちが提供するカリキュラムや試験がエンジニアの仕事に関係するだけでなく、試験の結果によってはエンジニアの仕事にも大きく影響します。受講者を正しく評価しなければならないという大きなプレッシャーがありますね。

セキュリティがビジネスを支える基盤に

mbsd3.jpg ITmediaエンタープライズ発行人、浅井英二

浅井 セキュリティ対策というとなかなか効果を目に見える形にするのが難しいと思いますが、経営層は教育プログラムをどのように評価していますか。

福本氏 経営層がインターネットセキュリティの重要性を認識していますので、さまざまな取り組みに対して積極的に関与しています。わたしを含めたセキュリティ担当者が日常的に経営層へセキュリティ対策の実施状況をリポーティングしていて、セキュリティの対策状況を可視化しています。

 今ではエンジニアのセキュリティスキルもかなり向上しています。万が一システム監査で脆弱性が見つかっても、われわれのような専門家が修正のアドバイスをしなくても、自力で修正することができます。何か問題が見つかれば、「ああ、それならこうします」といった具合に解決策を迅速に提案してもらえるようになり、セキュリティ担当者との意思疎通も図られています。

浅井 インターネット企業のようにシステムそのものがビジネスに直結している企業では、顧客ニーズに対応するシステムを迅速に導入することが生命線になると思います。楽天ではシステムやサービスが社会に大きな影響を与えるものだという意識を社員が共有していると聞きましたが、セキュリティ教育は重要な取り組みとなっているようですね。

福本氏 われわれのようなインターネットサービス企業は、お客様から預かっている大切な情報を守ることは当然で、守った上でのサービスだと思います。セキュリティ対策を疎かにした結果、外部から不正アクセスを受けて情報が盗まれるなど言語道断です。

 セキュリティ教育サービスを導入したことで、脆弱性を修正するために必要な作業が大幅に解消されるようになりましたので、サービスリリースをほぼスケジュール通りにできるようになるなど、目に見える効果も現れています。セキュリティ教育サービスによってエンジニアのスキルを高めたことで、顧客が求めるサービスを適切なタイミングで投入できるようになり、楽天グループ全体のビジネスに大きく貢献できるようになりました。

浅井 セキュリティの大切さを頭で分かっていても、なかなか実践するのが難しいですね。

福本氏 難しいかも知れませんが、将来のリスクを想定して、問題が起こる前にセキュリティ対策を実践していくのがセキュリティエンジニアの仕事です。MBSDは当社のセキュリティ環境を力強く支えていただいており、まさに縁の下の力持ちといった存在です。まだまだ世の中的には教育サービスも十分ではありませんし、エンジニアへのセキュリティ教育も行き届いてないと思います。安全なインターネット社会のために、このようなセキュリティ教育がもっと一般に浸透することを期待しています。





提供:三井物産セキュアディレクション株式会社
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2009年5月24日