今回は、セキュリティについてお話を伺います。
Mogic社内ではどのようにセキュリティ対策をしているのか?また、お客様の希望とセキュリティの両立したサービスをどう開発するのか?セキュリティのスペシャリストを招いて深堀りしていきます。
今回の対談者
エンジニアリングの要名本です。セキュリティのスペシャリストとして、Mogicのサービスのセキュリティを確保すべく日々奔走しています。
イノベーション&プロデュースの祖川です。エンジニアのバックグラウンドを活かして、お客様にあわせて最適なセキュリティのご提案をしています。
コンサルティング&ソリューションの栗野です。実は前職がサイバーセキュリティのコンサルタントです。
外部からの攻撃だけではなく、内部にも目を向けた対策を
栗野
4回目にして、ゲストとして、エンジニアリングチームの要名本さんに来ていただきました。今日は、セキュリティのスペシャリストにお話を伺います。 まず最初に基本的なところをお聞かせください。システムにおけるセキュリティは、どのように考えればよいのでしょうか?
要名本
まず想像されるのが、情報セキュリティは自分たちが持っているシステムや格納された情報を組織の外に漏洩しないということです。最近だと悪意のある組織がハッキングやクラッキングをしかけてデータを抜き取るケースが増えました。ですから、外部からの防御というのが大きな課題となっています。
ですが、事例でいえば内部の関係者から情報が漏洩してしまうケースが多いんですね。組織の内部を知り尽くした上でデータを抜き取られるとなると、被害としては二重に大きくなってしまうと思います。
意図的に持ち出す場合、あるいはうっかりした手順違いで漏洩してしまう場合、あらゆる場面を想定してカバーする必要があります。システム的に作り込んだり、従業員への教育を定期的に行うなど、網羅的に対策することになります。
栗野
なるほど。情報セキュリティといえばイメージでハッキングが先行しやすいけれど、灯台下暗しで自分たちの業務フローや意識を再確認するということが大事なんですね。
要名本
二つの視点がないと、外部からの攻撃にいくら強くても結局は情報が流出してしまう。古代ギリシアのトロイの木馬の話と同じですね。
栗野
お話いただいたのは、情報漏洩というセキュリティ被害に至る2つの要因ですね。セキュリティ被害は漏洩以外にもありますか?
要名本
データを破壊される、抜き取られるというのは致命的なのですが、もちろんDos攻撃のようにサーバ自体をダウンさせられてしまうと、クラウドサービス自体が提供できなくなります。サービスのクオリティが低下して、業務フローがすべて止まってしまうということにもなりかねません。
サービスを24時間365日稼働させ続けるにはどうしたらいいかという視点も大事です。スマホやパソコンでいつでも接続できるのが当たり前の世の中ですから、インフラとしての責任、バックアッププランを考えねばなりません。
少しセキュリティ用語にはなりますが、可用性、機密性、完全性というセキュリティ要件は平常時、異常時とあらゆる状況を想定して考えています。
PマークとISMSを取得し、進化を続けるMogic
栗野
続いて、具体的にMogicとしてのクラウドサービスのセキュリティ対策をお聞かせください。MogicはeラーニングシステムLearnOや授業支援システムPhollyを大規模に運営していますし、クライアントからの依頼を受けてオリジナルのシステムにカスタマイズして提供することがあります。その場合に、IT企業としてどのようにセキュリティに気を配っているのでしょうか?
要名本
分かりやすい話としては、Mogicという会社は以前からセキュリティに対して然るべき運用体制を持ち、第三者から審査を受けて改善を続けているということです。クラウドサービスを提供しはじめてすぐにプライバシーマークを取得して、6回目の更新を迎えました。
さらに情報の取り扱いを厳密化するということで昨年ISMSの認証を受けています。これらの審査はそれぞれ2年に1回、1年に1回とオフィスで見ていただいています。またセキュリティ委員会として各部門から1名ずつアサインされて、月に1回以上は話し合いを行なっています。
栗野
プライバシーマークとISMSという用語が出てきました。こちらの制度をもう少し詳しく教えていただけますか?
要名本
プライバシーマークは取り扱う個人情報の適切な管理をしているかということです。クラウドサービスを提供するにあたり、管理システムから利用者の情報を登録いただきますので、そちらを適切に管理しなければならないということです。
ISMSは会社が保有している情報資産を洗い出して、ラベリングして、誰がどう取り扱うかを明文化しているものです。誰もがあらゆる情報に触れられるようになっていると、漏洩の元になりますから、ルール化しつつできるだけシステムにしています。そういう意味で、2つとも取得しておくというのが信頼感につながるように考えています。
栗野
一口にセキュリティに関する資格といっても区分けがあるんですね。お聞きしているとなるほどと思いました。
要名本
さきほどもお伝えしたとおり、プライバシーマークは2年に1回、ISMSは1年に1回更新審査があります。どんなにうまくやっていても審査で、新しい課題が見つかります。それをセキュリティ委員会で議論しながら、最終的に監査、セキュリティ責任者に承認をもらっています。何度も更新をしてきましたから、やるほどに対策が進んでいると感じています。
栗野
そうはいってもセキュリティ認証を受ける体制や仕組みを一から作るのは大変かと思いました。最初に認証の審査を受けた際に大変だったことはありますでしょうか?
要名本
最初に苦労したのは、やはりプライバシーマークやISMSが持っている情報セキュリティの定義から全体の運用フローの理解ですね。過去に起きた事例から対策を網羅的に作られているんだと思いますが、専門用語もありますし、セキュリティ委員全員が理解して進むのに時間がかかりました。
ですから最初の審査はいずれも指摘事項が多かったと記憶しています。それを社内に持ち帰ってなぜここが抜けているんだろうと話し合いました。更新の際は各部門の担当者が審査員から面談を受けるので、全員が分かっていないといけませんから。
栗野
ですが、通常ISMSの認証は1年、2年とかけると聞いたことがありますが、Mogicは3ヶ月で準備して、審査を受けて半年以内に認証されたと聞きました。
要名本
審査員から最短での取得と言われました。
栗野
それはやはりもともとプライバシーマークを取得していたり、以前からセキュリティに対する話し合いや対策が続いていたからなのでしょうか?
要名本
そうだと思います。プライバシーマークでセキュリティの運用に全員が慣れていましたし、管理体制、システム化、教育が整っていました。なので、あとはISMSの枠組みに従って入力していったということです。 ISMSに関してはクラウドのシステムで情報資産を管理しているので書類の更新作業に手間取りませんでした。その二つがあって、かなりスピーディーに取得できたと思います。その点、プライバシーマークは以前としてドキュメント書類で運用していますのでやや手間がかかっていますね。
守るべき情報を見極めながら、利便性と安全性のバランスをとる
栗野
ドキュメント書類とツールで管理するもの。これはISMSやプライバシーマークの運用に関わらず、どういう区分で使うかが難しい話です。セキュリティ的に使い分けのポイントはありますか?
要名本
従来の考え方ですと、大事な情報は基本的にクラウドに上げずに、ローカルのセキュアなファイルサーバでドキュメント書類として管理するという方式でした。ですが、最近はクラウドでセキュアに管理することもできるよねとなってきているので、確かに使い分けに迷うことがありますね。
そこでどういう風に考えるかといえば、基本に立ち戻ってまずは情報の重要度によってグラデーションをきちんとつけるということです。
最も漏洩を防ぎたいものは、ローカルでネットワークにつながず、物理的に施錠して、接触者を絞ればいいですね。ただそれだと利用頻度が高いと使いづらいので、次に社内のネットワーク限定で限られた人だけ閲覧できるもの。オンラインのネットワークで限られた人が確認できるものと分けていく感じです。最も重要なものは外部に配置しないことを徹底します。
もちろんeラーニングシステムをサービスとして提供していますから、お客さまがクラウドにデータを保存されることを考慮にいれなければなりません。クラウドサーバを提供している会社がセキュリティに対して然るべき対応をしているか、性悪説にたってこちらからも監視しています。
栗野
利便性とセキュリティの兼ね合いを考えながら設計するということですね。セキュリティを上げればあげるほど、利便性は下がりますから配分が難しいですね。
要名本
そのあたりはプライバシーマークやISMSに限らず、システム開発するときも同じ思想でやっています。管理者を絞ったり、利用者のハードルを下げたり、あとはシステムの負荷を下げることも同じです。お客さまは利便性に目がいきやすい傾向にあるので、こちらでセキュリティの視点をアドバイスするのが大切です。
栗野
実はお客さまにeラーニングシステムの説明をする際に、ISMSやプライバシーマークの認定を受けているとお話するのですが、やはり評価いただけるポイントにはなっていますね。 セールスとしても会社全体でセキュリティ意識が高いというのはとても良いと思っています。
ミスは起こる前提で、情報漏洩の可能性を潰していく
栗野
システムを作る時のセキュリティのお話が出ました。もう少し詳しく教えてもらえますか?
要名本
まず考えるのは、情報は触れるべき人にしか開示しないということです。管理するシステムであれ、利用者が使う画面であれ、すべての情報を出すということはありません。開示すべきでない人には絶対に出ないように仕組みを作ります。開発を進めていくにあたり、レビューをもらいますが、そこはすごくしっかりとチェックされていると思います。
どのプログラムで情報漏洩が起きると最も深刻な事態になるか、リスクが最も高い場所をチームで認識合わせしています。開発をする体制、テストをする体制いずれでも情報漏洩が起きるとすればどこかと事前に話すようにしています。
あとすべてをすべて同じレベルで守ることはできないので、守るべきところをたくさん作らないようにしています。すべてに等しく対応するというより、守るべきところを集約してそこをしっかり守る考え方です。
家で例えると分かりやすいですね。入口がたくさんあればそれだけ侵入される可能性が上がります。侵入された後に漏洩するリスクも高まりますから。なので、入口は最小限にして死角がなく侵入者がそもそも入ろうとする意図を削ぐ感じです。
祖川
システム開発において人にまつわるリスクやセキュリティ対策はどうですか?
要名本
人に関わる部分で情報漏洩するのは大きく3つあります。システムを使う時に誤った操作で漏洩するケースと、セキュリティの自覚がなく漏洩するケース、悪意をもって漏洩させるケースです。
誤操作での漏洩するケースは必ず防ぎたいですね。メール送信システムを例に出すと、宛先を登録し、編集するところで作業ミスをしやすい。メールは送ってしまうと取り返しがつかないので、作業者が一番緊張するところです。誤って削除したり、宛先を間違えてしまうなどのミスが起こらないようにデザイナーと連携して、ユーザビリティからも予防策を考えます。
セキュリティ意識は教育で徹底するしかないです。知らなかったでは済まされないことが多いので、入社時にeラーニングし、最低でも3ヶ月に1回はオンラインセミナーとテストを実施する。加えて、仕事をしながらセキュリティの対策を話しています。
さらにリスク管理委員会が設置されているので、担当部門以外の目線で社内の潜在リスクを1ヶ月に1度チェックしてもらっています。先に先に手を打つという感じです。悪意をもって漏洩させるケースにも何らかの兆しがあると考えていますから、事前に兆候はないかとヒアリングしているようです。
栗野
人のセキュリティ対策にしても多方面から取り組んでいますね。たしかにたまに外部で誤ったメール送信のお詫びを見ることがあります。ですから、明日はわが身と思って、気を引き締めているところです。
要名本
人はどうしてもミスをしてしまうので、ミスをする前提でその確率を減らし、万が一の状況が起きてもリカバーできるように考えておくことだ大事かと思います。
丁寧なコミュニケーションで、お客様の希望とセキュリティの両立を目指す
栗野
これまではMogicのセキュリティ対策についてお話いただきました。今後Mogicと一緒にシステム開発やビジネスを一緒にやりたいという担当者に向けて、セキュリティについてお伝えしたいことがあればお願いします。
要名本
セキュリティ、セキュリティといってしまうと過剰に不安になられるかもしれませんが、やはり大事なのでこちらから都度お話していきます。
ただ漠然と全部が全部をガチガチに守りたいということではないんですね。ご自身が使われるシステムにおいて、どれが一番重要でそれをどう取り扱うべきかということに解像度が上がっていくといいなと思っています。
あとは人は絶対に何らかミスをしてしまいますから、それを考慮してどうアクションされるかをお互いに議論できるといいですね。リリースした後にシステムに不具合が出てきたり、使っていきながらミスしやすい場所が見つかったりします。そういう現実的な運用の流れの中で、何が最善なのかと模索していく一つのチームになれればすごく強くなれる気がしています。
絶対にこれが正解という方法はなく、プライバシーマークやISMSの認証があるから完璧なんだということもなく、不完全さを受け止めて油断することなく改善を続ける姿勢が大事だと考えています。
栗野
ちなみに、システム開発や運用に不慣れでセキュリティをMogicにお任せしたいという場合はどうなのでしょうか?
要名本
システムはプログラムでできていますし、クラウドサーバで展開されています。ほぼ目にみて細かく確認することができないものですから、開発を担当する会社として誠実にセキュリティを分かりやすくお伝えする義務があると思っています。場合によって、セキュリティを優先するために仕様が増えることもあり、その場合にきちんとご納得いただけるようにしています。
栗野
実際のシステム開発にあたり、セキュリティ関連で参考になるやりとりはありますか?
祖川
やはりセキュリティもコミュニケーションが大事だと思っています。ご相談いただく際に「こういうシステムを作りたい」「こういうことをやりたい」とお聞きします。前提はやりたいことや実現したいことが中心です。
それからMogicでシステムの設計を始めるのですが、そこで細かくリスクが見えてきます。「このあたりは情報漏洩のリスクがありますね」「利便性は確かにこちらがいいけれど、すごく重要な情報だから確認画面をはさんだ方がいいですね」ということをすべてお出ししています。
その上で「リスクを取ってもやりたいから、どう最小化できるんだろうか」となる場合もあれば、「それは確かに厳しいから、違う作り方はないだろうか」と議論しています。判断いただくには大切なリスクやセキュリティの情報がないといけませんから。
さきほど出てきましたけど、全部が全部セキュリティを高めすぎてしまうと開発リソースも費用も莫大にかかります。莫大な予算で全部やりますというのは現実的ではないですから、うまくセキュリティとやりたいことのバランスをとるしかありません。
栗野
確かにお客さまの要望ばかりで作り、リスクが最大化された状態で後から事故が起きた場合に最終的に見合わない被害が発生してしまうこともありますね。
要名本
さらにいえば、開発する側がセキュリティを高めたシステムを作っても、実際に運用されるお客さまの業務フローや意識が高まっていないと穴ができてしまうんですね。お客さまとシステムを作る会社のリスク意識が揃ってはじめてトータルで守れるものだと思いますから、コミュニケーションが大事です。
栗野
Mogicは企画からデザインや開発、運用まですべてを自社内で完結してますね。外注することはない。エンジニアやデザイナーが近くにいてこまめにコミュニケーションしています。 セールスもシステムをいくつも作ってきた経験がありますから、お客さま、セールス、ディレクター、エンジニアで一体となってコミュニケーションを取り、セキュリティが高いシステムが作れるのかなと感じました。
祖川
自社ブランドでサービスを運用しているのもノウハウとして大きいですね。eラーニングシステムLearnOは10年以上、授業支援システムPhollyの7年ほど。自分たちが端から端まで面倒をみて育ててきたサービスがあり、直接お客さまからの問い合わせを受け続けてきました。
机上で考えたのではなく、実地の声を拾ってお客さまが気にされているポイントや潜在的なリスクの知見が溜まっているのだと思います。多くの会社とお付き合いさせていただく中で事例が集約されて知恵になっています。そういうバックグラウンドがありますから、これからもお問い合わせいただくお客さまのお力になっていきたいですね。
栗野
ユーザビリティだけでなく、セキュリティもしっかり考えたシステムを作りたいというお客さま、ぜひMogicにご相談いただければと思います。それでは長くなりましたが、本日エンジニアのお二方、インタビューをありがとうございました!
要名本、祖川
ありがとうございました!
LearnOのセキュリティについてはこちら