こんにちは、DevBrandingのellyです。7月15日に配信した「これからの『freeeのセキュリティ』の話をしよう」の様子をご紹介します。
セキュリティの課題は時代と共に増え続けています。 特に企業の財務データや従業員の労務データを扱う freee はサイバー攻撃者からすると格好の的です。そんな freee がこれからセキュリティの課題にどのように立ち向かっていくのか、今年 4 月に freee の CISOに就任した barshige と CIOの tosa に赤裸々に語ってもらいました。
tosa:写真左上。 CIO (Chief Information Officer: 最高情報責任者) 2015年10月freeeに中途入社。自宅に子供がいる時間はベランダワーク。
barshige: 写真右上。CISO (Chief Information Security Officer: 最高情報セキュリティ責任者) DeNA創業から22年間インフラやセキュリティを担当し、2022年4月freeeに中途入社。
のぶじゃす (@noblejasper): 写真右下。ラジオパーソナリティ、2017年に中途入社。mixi、ソーシャルゲーム企業でソフトウェアエンジニアを経験し freee に。入社後はエンジニア→エンジニア採用担当→エンジニアと DevBranding を担当。しゃべりたがり。声が大きい。
freeeのセキュリティ組織
―元々tosaさんがfreeeのCISOで、今回barshigeさんにそれを引き継ぎましたよね。まずは前提理解として、今までのfreeeのセキュリティって、どういう状況だったんでしょうか?
tosa:2012年にfreeeが創業し、2015年12月にCSIRTが発足したんですが、この頃のCSIRTは全員兼任でやっていて、CTOの横路を筆頭にSREのメンバーが担当していました。
2016年から私もこのCSIRTの兼任メンバーとして参加しました。2017年からfreee会計のエンタープライズプランのリリースや銀行とのAPI接続リリース、FISCからのAPI接続先チェックリストなどをリリースしており、私は前職が銀行のシステム子会社だったという経験から、開発や金融機関、FISCとの調整などを担当していました。
2017年にいよいよセキュリティが大事になってきたというのが社内ですごく実感されて、「CISOとしてセキュリティの専任メンバーの一人目になってくれ」と言われたんですが、あまりそのつもりで入社してなかったので結構面食らいました(笑)CISOと言っても一人しかいない専任メンバーだったんですが、非常に重要なポジションということは理解していたのでやらせていただくことになりました。
2018年に入る少し前に最初のCSIRTの専任メンバーにジョインしてもらい、組織を作っていきました。電子決済等代行業という金融庁管轄の業態に登録したり、SOC1 type2 という上場企業が使う会計ソフトとして必要な認証を受領したり、2019年末には上場に向けて主に第三者から認可認証をもらうことを通してセキュリティを高めつつ、必要な体制を作ってきたというのが、CSIRT1チーム時代です。
2020年には、CSIRTで全部まかなうのがしんどくなってきたので、プロダクトセキュリティ専任チームをスピンアウトするような形でPSIRTを発足して2チーム時代になり、2022年4月からbarshigeさんにジョインしていただいて、CISOを引き継ぎました。ここでようやく「全員専任」という状態が作れたということで、私の長年の夢をようやく達成できました。
―いろんな苦難を乗り越え、上場し、PSIRTもでき、ついに専任のCISOが誕生したと。CISOとして今回barshigeさんに来てもらって、良かったと思う部分はどういうところでしょうか?
tosa:やっぱりbarshigeさんはDeNAのかなり初期のメンバーとして成長期、成熟期を通して経験してこられたという二人といない経験の持ち主で、かつずっとセキュリティのリーダー、セキュリティチームの立ち上げもやってこられて、色んなヒヤリハットも経験されてきたと思います。
ジョインしていただいてよくわかるんですが、自分ですごく手を動かしますし、それでいて経営レベルの目線で物事を考えてみんなをリードする、あるいは経営メンバーに示唆を与えることができるということで、改めて本当にこの人しかいなかったな、最高の人に来ていただいたなと思っています。
―運命のめぐり合わせですね。barshigeさんはfreeeに入ってまだ3ヶ月だと思いますが、まずこれをやりたいと思っていることはありますか?
barshige:7月から新しい年度が始まっていますが、今期1年間で自分にとって一番大事だなと思っているのはセキュリティポリシーのアップデートですね。他にも技術的にやりたいことはいっぱいあります。
PSIRTが継続して取り組んでいる自動化の推進や、少ないメンバーで効率的に社内の色々な問題に対処できるようにするということもやりたいんですけども、自分の考えでは10年くらいセキュリティをやってきた中で、セキュリティポリシーをしっかりすることによってセキュリティの活動や事業を安全に回せると感じているので、とにかくそこをしっかり作りたいと思っていますね。
―セキュリティポリシーを変えることによってどんな効果があるのでしょうか?
barshige:特に実質的に役に立つなと思っているのは、具体的な方針を打ち出すことだと思っています。セキュリティポリシーというと抽象度が高い書き方をされていることが多いと思います。例えば「こういう個人情報はちゃんと暗号化しなさい」と書いてあるんですけど、それだけだとどういうアルゴリズムで暗号化するのかにかなり自由度があるので、現場の開発のメンバーが古くなってしまった暗号アルゴリズムやハッシュアルゴリズムを使ってしまう可能性があり、そういうのは使って欲しくないです。
だからある程度自由度は残しておきつつも、これ以上の強度のものを使ってくださいねとか、ここは従ってねみたいな指針をきちっと出すことによって、みんなが迷わずにスピーディーに開発できるようにしたいと思っています。
―開発の指針にもなりますし、お客さんのデータを守る強度も上がりそうですね。
ふたりが考えるセキュリティエンジニアとしてのキャリア
―tosaさんから改めてbarshigeさんに聞いてみたいことがあるそうですね。
tosa:barshigeさんにとってCISOとはどういう位置づけなのか、今回CISOにチャレンジするのはキャリアの中でどういう意味付けをしているのかというのを聞いてみたいと思っていました。
というのも私はCIOとCISOを兼務してきて、どっちにフォーカスしたらいいのかすごく悩んだ時期があるんですよね。さきほど、私がやっていたセキュリティは第三者に認可してもらうことを通してセキュリティを強化することだというお話をしましたけど、そういうフェーズだからこそ、私の銀行出身のバックグラウンドや特性を活かせたんだと思っています。
いまはさらにその上のフェーズで、上場も終わり、第三者に認められるというよりも、本当の脅威に対抗していく力を身につけるために、より本物のCISOに来ていただく必要があるなと思って、ある種自分の大事なポジションを前向きに受け渡したいと考えるようになりました。
そのように私自身は結構悩んでCISOというポジションに向き合ってきたんですが、barshigeさんがセキュリティの道に進もうと決めたタイミングや、それに悩んだ経験があれば教えてほしいです。
barshige:そうですね、自分もDeNAの最初の頃からずっと15年くらいインフラをやって、途中でセキュリティにキャリアチェンジしたんですけど、そのときは実はあまり悩んでないんですよね。
セキュリティとの出会いは2010年頃、当時DeNAはガラケー上でゲームを展開していたんですけど、世界がスマートフォンにシフトしていき、スマートフォン上でもゲームをできるようにしようということで開発していた頃でした。
ガラケーってキャリアのゲートウェイしか通らないので、それ以外のIPを全部閉じていて、セキュリティをそこまでプライオリティ高く考えなくてもよかったんですが、スマートフォンはWi-Fiが使えるので、そうなると全世界に開けないといけなくて、いろんな攻撃が来るだろうという想定がされていました。
実際に診断してみると、あまりセキュリティが考慮されていないアプリがけっこう見つかって、セキュリティの手当てをしないといけないということで、インフラでネットワークの部分とかを見ていた自分が兼務で始めてみることになりました。
最初は外部の診断会社に診断をお願いする取り次ぎみたいなことをやってたんですけど、自分でもセキュリティのことをいろいろ勉強してみると結構面白くて、この分野で10年くらい食えるなと思ったんですよ(笑)
色々なクラウド化が始まりつつあった時期でもあるし、この方向性は面白いなと思って、当時自分が見ていたインフラ組織が30人くらいで多少バッファがあったので、数人のメンバーにもセキュリティを兼務してもらい、ちょっとずつ始めました。
時代と共にますますセキュリティが重要になってきて、専任が5,6人になったときに、インフラを他の人にお任せしてセキュリティ1本に移ったというのが自分のキャリアチェンジしたエピソードですね。
―セキュリティ面白そうだな、と思ったというのがきっかけなんですね。
barshige:そうですね。我々エンジニアとしてのセキュリティって言うのは、開発、ミドルウェア、ネットワークの脆弱性をどうやって対処するかという結構広い知識が必要な上に、それをどう守るかという取り組みなので、色んな事を勉強しなきゃいけないんですよね。それが自分の知識が広がるという面白さにつながっています。
あとは、セキュリティを始めた頃に読んだのがハッカーの教科書って本で、やっぱり防御するには攻撃を知れって言うじゃないですか。その本にパスワードをクラックする方法とかいっぱい書いてあって、もちろんテスト環境でしか試しちゃいけないんですけど、すごく面白くてこんな世界があるんだ、みたいな。
エンジニアになりたての頃は、ひとりでWebサイトを作って運用できるように技術を学んだり、アプリを作ってAppStoreに並べたりしていて、基本的に新しい技術を吸収して使うのが好きなので、そこが合ってたんでしょうね。
―今まで作れなかったものが作れるようになるのはエンジニアの面白いところですよね。
複数の分野にチャレンジすることはエンジニアとしての厚みにつながる
―セキュリティの道に進もうか迷っている人にアドバイスするとしたらどんなアドバイスをしますか?
barshige:セキュリティをやってみたいなと思っていて、かつその機会があるのであれば、是非迷わず飛び込んで欲しいなと思ってます。
自分も社会人になってからインフラエンジニアを20年くらいやりましたが、セキュリティの道に進むことは、インフラエンジニアのキャリアを捨てるのではなくて、フルスタックとして引き続き生かす、厚みになるってことだと感じています。
なので、セキュリティの分野にまず飛び込んでみて、数年やってやっぱり違うな、一通り学んだけどインフラの方がいいなと思ったら、また戻ればいいと思うんですよね。複数の分野を真剣に学んでいくことによって、エンジニアとしての厚みが出てくると思うんですよ。あの人に聞けばなんでも知ってるみたいな。そういうエンジニアは一つのロールモデルだと思ってます。
一方で自分は厚みじゃない、深さで勝負だ、って言う人もいると思うんですよね。バリバリ開発するのが得意とか、DBのチューニングなら世界一だみたいな、そういう道を追求していく道もあると思います。そういう人が活躍する場も必ずあるので、それはどっちが好きか?という違いだと思います。
色んな武器を身に付けて厚みを出したいんだということであれば2,3年やってみて、一定のスキルをつけたらさらに違うものに行ってもいいし、また戻ってもいいと思います。そういうことが今のエンジニアの環境であればできるはずですし、少なくともfreeeだと違う部署に行って学んでまた戻るみたいなのは結構あるようなので、自分の目指すロールモデルがどっちなのかを見極めてそういうことをやっていけばいいのかなと思ってます。
tosa:深みの反対が厚みってすごくいいメッセージだなと思っていて、ひとつをずっとやっていないとブレて価値が落ちるんじゃないかって結構気になりがちだけど、色々経験することで厚みができるって、私自信勇気づけられました。
CISOとしてfreeeで実現したいこと
―いまのfreeeにおいてCISOに求められていることや、成し遂げたいことを教えてください。
barshige:重大インシデントを起こさないとか、セキュリティポリシーをきちっと作ってセキュリティ観点での秩序を会社の中にもたらすというのは当然期待されてるとは思うんですけど、多分それだけだと物足りないだろうと思っています。ちょっと逆説的なんですけど、「直接的にセキュリティじゃない取り組みを通じてセキュリティを高める」みたいなことに、今年は取り組もうと思ってます。
例えば、セキュリティの世界にシフトレフトという言葉があって、シフトレフトというのは上流工程でセキュリティの考え方や概念を組み込むというもので、後工程に行けば行くほど修正にコストがかかるのでなるべく上流で潰したほうがトータルコスト安いよねという考え方なんですが、それって普通じゃないですか。
後から対応するとコストがかかるからセキュリティに取り組もうね、だと普通すぎるんで、例えばセキュリティに取り組むことで新しい知識を身に付けてエンジニアとしての価値を上げて行こうといったことをメッセージとして打ち出して、実際にそれを体現していくみたいなことをしたいです。
抽象的だしよく分からないかもしれないんですけど、「危ないからセキュリティやろう」じゃないアプローチで、みんなが楽しく結果的にいい品質のものが出来るという世界を目指していきたいなと思っています。
―やらなきゃいけないからやる、じゃなくて、これをやったらもっとお客さんにとって良くなるとか、新しい知識が手に入れられて楽しいというポジティブなモチベーションでセキュリティを高める流れを作っていきたいということですね。
barshige:すごいですね。しっかり整理して言語化していただきました。そんな感じです。
自分ひとりの力ではもちろんできなくて、エンジニアに閉じず、採用チームだったりブランディングチームだったり、そういう人たちの力も借りながらやりたいなと思っています。
セキュリティの責任者にとって重要なスキルやスタンス
―すでにセキュリティをやってる人たちに向けて、CISOのような責任者になるために大事にしたほうがよいこと、自分はこれに気を付けてきたというものはありますか?
barshige:僕はバランスにすごく気を付けていましたね。セキュリティをやっているとどうしても社内での権限が強くなってしまうケースがあるんですよね。ストップさせる権限とかが結構あったりするんですけど、何でも止めまくると事業自体が進まなかったり、厳しくしすぎるとみんななるべく報告しないでこっそり処理してしまおうとなってしまったりするので、前の会社でも「なんでも報告してください、絶対怒らないから」とよく言ってました。
そういうオープンな雰囲気を作ったり、締めすぎてもいけないし緩すぎてもいけないという、自分の会社の事業規模や扱っている情報の特性に合わせたバランスは重要だと思います。会社ごとにそれぞれ違うと思うんですけど、自分の会社や組織がどういうバランスが一番いいのかを常に見ながらやっていくといいと思いますね。
もう一つは、もしCISOやセキュリティ組織の中でトップになることを目指すのであれば、技術はもちろんポリシー、法律、ルールなどの知識もつけるのは大事かなと思っています。セキュリティに関する技術や法律はめちゃくちゃ広いので全部を深く学ぶって言うのは中々難しいです。
技術の話でいうと、例えば僕だったら、診断の勘どころやログ分析といったものは、しっかり技術を理解して自分でもできる状況です。
法律の話でいうと、個人情報保護法とか、海外に出て行くのであればGDPRとかプライバシー法の知識というものも不可欠です。法務の専門家に比べたらもちろん知識の量や質は劣るんですけど、でもポイントとして日本の個人情報保護法であれば、例えば情報の第三者提供のときに必要な手続きって言うのは全部決まっているので、キーワードをきちっと覚えておいて、何かあったときにピンとくるみたいな勘どころを押さえておく必要があります。
なので文系・理系両方に土地勘がある状態をちょっとずつ作っていくといいのかなと思います。
―厳しくするところと緩めるところのバランス、技術と法律のバランスが重要ということですね。
視聴者のみなさまから質問
―「今の会社にはセキュリティ専任チームやCISOのようなポジションはないのですが、そのような会社で専任チームを作っていくにあたり、最初にどのようなことを行ったらよいですか?」
barshige:まずは組織的にはスモールスタートをした方がいいですね。「セキュリティは大事だから4人くらいの組織を作っていいですか?」って言ったらそんな金はないって大体断られるんですよね。質問された方自身がセキュリティを心配していてやらなきゃと感じているのだと思うので、できればその質問者の方が兼務で始められるのが一番いいと思います。
技術的に何をするかというのはたくさん選択肢があって、その事業によってセキュリティチームのコアコンピタンスがだいぶ変わってくると思います。DeNAのときに最初にコアコンピタンスとしたのは診断の内製化でした。なぜかというと、たくさんのゲームが同時並行で開発されていて、それを全部リリース前に診断するということを目指していたので、外部の診断会社の方に依頼していればリリースがちょっと前後するとスケジュール調整だけでもすごく大変です。内製化することによって柔軟に色んなことができるので、最強の内製診断チームを作ろうというのを、最初に目指しました。自分で言うのもなんですけど、実現出来たんじゃないかなとは思ってました。
―「セキュリティ専任メンバーの採用に関して、採用時に工夫したことはありますか?」
tosa:愚直に採用活動を頑張っていたんですけど、セキュリティで活躍する人には特徴があるように感じるようになりました。ITを使う仕事って基本的には大工仕事みたいな、物をコツコツ作っていって納品するものを作り上げるって言う感じなんですけど、セキュリティが好きな人はITそのものをおもちゃのように楽しんでるんですよね。すべてのエンジニアにそういう要素があると思うんですけど、セキュリティを楽しめる人ってよりそういう要素が強いんじゃないかなと思っていて、そういうところがあるかは採用活動での質問を通して色々聞かせてもらったりしていますね。
―「セキュリティの法律や規格などをどのような方法で勉強していますか?」
barshige:一番最初はIPA、JPCERT、経産省といったところにあるドキュメントで関連するものを読みましたね。後は個人情報保護法が改正されるときはガイドラインみたいなものが出るので、それは全部見ました。
全部覚えている必要はないんですけど、ばーっと目を通す中で自分の会社に関係しそうだなってところはメモっておいて、すぐに取り出せるようにしています。勉強法という意味でいうとWebでネットサーフィンしたり、ポータルでドキュメントを読むという、あまり面白くないんですけど、普通に勉強する、情報を読むって感じですね。
tosa:最初の頃に、法律事務所の方がやってるセミナーとかを聞きに行ったのは、全体感やこれまでの変更点が分かってよかったです。その上で先ほどbarshigeさんが言っていたようなガイドラインなどを読むと繋がって身に付けやすくなるかなと思います。
―「IT系ではない中小企業だと、管理職クラスにセキュリティに関する知識がない人が多く、技術的な話を相談しても受け入れてもらえなかったり、よくわからないからNGになるパターンも多々あると思います。こういう状態の会社はどこから取り組むのがいいでしょうか?」
barshige:難しいですね。世の中で騒ぎになっている事件みたいなものを確実に拾って、それと自分のやりたいことを結びつける技を身に付けるということでしょうか。最近だとサイバー攻撃は社会的にも問題になっていて、日経とかにも特集が組まれたりしてますよね。経営者や管理職の人は日経を読まれてる方が多いと思うので、そういう記事を題材にして、「これ、うちでも起こりますよ」みたいなストーリーを作るというのは重要ですね。
ピンポイントでここヤバそうなのでいくらください、って言うとよく分かんないんですけど、ストーリーを作ってそのストーリーに自社も巻き込まれるみたいな、そういうイメージをつけるように説明するとよいのではないかと思います。
そういう積み重ねでセキュリティは確かに大事だよなと思ってもらうようトレーニングしてあげるのが良いと思います。僕はよく筋トレって呼んでたんですけど、急に全然何も知らない人のところにセキュリティの話を持って行っても理解ができないんですよ。英語喋れない人に英語を話すようなものなので、そういう説明ではなく、何も起きていないときからネタを提供し続けるっていうのが大事なんですよね。
自分たちにはいま事件はないんだけど、そういう記事を拾って社内メルマガみたいな形で情報提供をしておくと、ちょっとずつ興味を持ってくれたり、セキュリティのことが理解できるようになり、そのうえで一番言いたいことをズバっと持っていくと。セキュリティの筋トレを提供してあげるといいのかもしれないですね。
―これ、すごいいいtipsですね。
freeeのこれからのセキュリティ
―freeeのこれからのセキュリティは今後どう進化していくのでしょうか?
tosa:ユーザーさんを守るための機能としてプロダクトのセキュリティ機能はもっともっと進化させたいですね。うちのプロダクトを使っていただいているお客さんに「freeeを使っていたらセキュリティのこと何も考えなくて大丈夫だな」と思ってもらえるようなプロダクトの進化を引き続き一緒に進めたいなと思っています。
barshige:入社前からtosaさんからもそういう伝言を受けてまして、実は前の会社のセキュリティでもそこまでは踏み込めてなかったので、それは自分としてのチャレンジでもあります。
それを実現するためにもちろん自分一人ではできないので、事業会社のセキュリティ組織・チームとしてすごい尖がった存在で、他の組織からもああいうセキュリティチームになりたいみたいなロールモデルの一つになれるような、そんな組織を作って行きたいなと思っています。
メンバーそれぞれは多様なバックグラウンドやスキルセットで構成されているチームなんですけど、少なくともメンバーは全員ピンでも生きていけて、すごいスキルと幅広い知識を持っていて、個人で会社を立ち上げたいとなっても仕事がいっぱい来るような、そういう人に育つようなチームを作りたいなと思いますね。
世の中のエンジニアの皆さんにも、セキュリティエンジニアや専門家として働きたいなと思ったときに、freeeで働いてみたいなと思ってもらえるようないい組織を作りたいと思っています。
▶freeeではセキュリティエンジニアを募集しています。
freeeのセキュリティエンジニアにご興味のある方、ぜひカジュアル面談からいかがでしょうか?
PSIRT(Product Security Incident Response Team)エンジニア
CSIRT(Computer Security Incident Response Team)エンジニア
▶次回freee Tech Night
9月2日(金)19:00~ 「これってもしかして……認証基盤が入れ替わってる〜?」
▶今回のイベントのアーカイブ(録画)