セキュリティチームCSIRT（シーサート）は、今日もfreeeを守り続ける

freeeには、セキュリティ対策チーム・CSIRT（シーサート）があります。日々進化するサイバー攻撃からfreeeを守り、同時にユーザー・関係企業も保護し続けています。その主力として活躍する社員4名が、おのおのの役割からセキュリティにおける人材論までひも解きます。

守ることに関しては僕に聞いてください

freeeにはCSIRT（シーサート）というチームがあり、コンピュータやインターネットにおけるセキュリティ上の問題がないか監視しています。万が一問題が発生した場合には、すぐに原因を解析して対応し、影響範囲の調査を実施。メンバーにはさまざまな役割があり、おのおののポジションからセキュリティを守っています。

杉浦「僕は freeeをネットワーク上の攻撃から守っています。ネットワーク系の攻撃手法って普通の戦争と一緒で、最初に偵察をするんですよ。そして突破しやすそうなところを見つけてから、武器を運んで、備え付けてから始まるんです。それに気がつけるように、いろいろなところにセキュリティセンサーを入れ、攻撃を選り分けて検知しています。

メールや Wi-Fiの接続も、外部からしたらウィルスの輸送手段のひとつなので、おかしいものがある時点で反応できるようにシステムを組んでいきます。プログラムの中、リリース後のシステムの中など、各段階でいろんなトラップを仕掛けていますね」

こう語るのは守りの要として活躍する杉浦英史です。彼が見ている範囲は広く、社外はもちろん、社内にもその目は光ります。

杉浦「内部に向けては、社内でおかしなことをやってる人が紛れ込んでないか見ています。たとえ無意識でもおかしなことをしている人がいたら『あなたの PCでこんなことが起きてるんですけど、これ意識してやってないですよね！？』と聞くこともあります。

エンジニアには設計書を書く段階で、情報の扱い方、保存の仕方などを聞いてもらってますね。そこでより安全を担保できるような方法を提案したり、根本から発想を変えてほしいときには頭の中をつくり変えてもらってから、コードを書いてくださいとお願いしています」

妥協せず、細やかな対応で任務にあたる杉浦。このような姿勢は前職での経験が糧となって生まれていました。

杉浦「前職は MSSP（マネージド・セキュリティ・サービス・プロバイダー）で働いていました。会社のネットワークを守る装置をつくってリースし、クライアントをずっと監視するサービスですね。またバックエンドのログから、変なものがないか探すためのシステムをつくり、それを数千拠点で並行運用しながらリアルタイム監視もしていました。そこの技術のトップとして、 OSを書いてたんです。ネットワークセキュリティの専門家なので、中小企業にはまずない職種です。

ネットワークのセキュリティだけをコンサルみたいな形でやっているわけではなく、システムをちゃんと最初から組み、その後の運用まで面倒を見ていたのが自信になっていますね。今では胸を張って『守ることに関しては僕に聞いてください』って言えます」

日本にネットワークやセキュリティの運用で僕のライバルになるような人はいない──そんな自負を持って仕事をしています。

freeeを守るために、freeeを攻撃する？

杉浦とペアになってfreeeのセキュリティを高めているのが金澤康道。彼の業務内容は、一見すると敵と同じでした。

金澤「僕は、杉浦がつくった壁のほころびを見つけだして、試しに攻撃しています。やる時間帯は伝えるんですけど、どのような攻撃をするかは伝えないですね（笑）。僕が滅ぼす前に杉浦さんがブロックする、そんな日々を過ごしてます。

システムへの侵入はテスト環境でやっても意味ないので、ガッツリ本番環境でやってますよ。そこで実際に何が読み取れるか見てみないと、なんの役にも立ちません。 freeeを守るためにやっていることなので」

彼もまた、前職での業務を生かしています。

金澤「前職はセキュリティベンダーに勤めていました。クライアントと契約を結んだ後、実際に擬似攻撃をして脆弱性を見つけ、報告書をあげるまでが一連の流れなんですけど、攻撃面は何やってもいいっていう条件だったので鍛えられましたね。

インフラ側のこと、ネットワークとかサーバーとかに侵入できないかどうか、侵入して周りのサーバーやシステムに入れないかどうかということをやってました。依頼されて行うハッキングみたいなもんです」

CSIRTには、ディフェンスと擬似攻撃をする以外の業務もあります。吉本が行っているのは、セキュリティ上の広報と、社内でのガイドラインの作成でした。

吉本「私は社外の取引先見込みの金融機関さんや、ユーザーさんからのセキュリティ上のお問い合わせに答えています。重要なデータを扱っている以上、『 freeeのサービスって本当に安全なのか確かめさせてください』という質問は多いですね。

同様の質問は freeeの誰でも、たとえば営業先などで受ける可能性があるので、社内でのルールづくりも担当しています。おのおのが思いつくままに答えるのではなく、 freeeとして一貫した答えを出せるように。ルールが定められていない分野を見つけたときは、新しくガイドラインを決めて社内に広報しています。

セキュリティって『会社としてどうですか』『サービスとしてどうですか』って聞かれたときに、どこか 1カ所でもできてないと、会社としてまったくできていないと思われてしまいます。守ってないんだって場所が 1カ所でもあると、お客さんの心理的安全性を担保できないんです」

吉本のCSIRTとしての職歴はfreeeに来てから。さまざまな仕事をしてきたのが、彼の強みとなっています。

吉本「僕は転々としてきました。最初の仕事は自動車整備士、それから派遣でいろんなメーカーに勤めてきました。その中でも所属が変わりつつ金融セキュリティの業務対応もやったので、 CSIRTも少しかすっています。

前職は不動産ポータルサイトを運営する会社で、 10年ほど社内の情報システムをやっていました。そのかたわらで CSIRTの委員会が社内にあって、下っ端ながら参加し、セキュリティについて勉強させてもらっていたんです。 freeeの面接では、 CIT（社内 IT）と CSIRTどっちも受け、どっちに配属されるか最後までわかりませんでした。選り好みはないとだけ伝えていましたね」

CITとCSIRTで責任者を勤める土佐鉄平は、人生の経験値で吉本をCSIRTのメンバーとして採用しました。

土佐「よく若い人たちに『どうやったらセキュリティエンジニアになれますか？』って聞かれるんですけど、僕はセキュリティエンジニアっていないと思ってるんです。何が起きるかわからないので、多くのことを経験していろんな引き出しと頭を持ってないと、対処できません。吉本は人生的にいろんな経験を詰んでいたので、 CSIRTで採用させてもらったんですよ」

IT社会において、守り続けることは責務

情報セキュリティはイタチごっこと言われるほど、終わりのない攻防が続きます。新しい攻撃の手法が世界中で開発され、年々高度化しているサイバーテロ。それを防ぐには、情報のキャッチアップは欠かせません。

杉浦「製品やサービスの脆弱性の詳細は、アメリカの非営利団体から公開されてるんです。『製品 Aの現バージョンはここが弱いので、こちらのバージョンに更新しましょう』みたいな感じで。外部からの攻撃を和らげる手段なども常にメールなどで流れてくるので、それを見て、常に自分の知識をアップデートしておかないといけません。いろいろな手法を見て、 freeeのシステムってそこに追いつけているのかなって照らし合わせながら」

脆弱性がもたらした事件の具体例は枚挙にいとまがありませんが、中でもインフラに関わるものは、とくに注意が必要だと言います。

金澤「日本だと個人情報漏洩事件が多いんですけど、海外では本当に戦争の手段として使われています。最初はイランの原発近くのウランの濃縮施設で、 USBでウイルスを入れられたんです。遠心分離機を高速回転させてぶっ壊すために」

杉浦「最近では、 2015年のクリスマスにウクライナの変電所がダウンさせられました。さらには再起動できないように OSを壊され、サポートセンターに電話をいっぱいかけて飽和攻撃をして、お客さんからのお問い合わせがつながらないようにしたんです。電気が止まってから電力会社が気づくまで 3時間もかかりました。彼らの家はセントラルヒーティングなので、電気が来なくなるとお湯が出なくなり、家の中が凍ってしまうんですよね。

後に出た攻撃レポートでは、半年前から入念な準備をしていたことがわかりました。コンピュータのセキュリティはインフラにも関わってるんで、パブリッシュされるものを見て自分ごととして考え、行動を起こさないと、場合によっては本当に死人が出るんです」

金澤「世の中が IT社会になった以上、永遠に守り続けないといけないんですよ。道路や水道などと同じく社会のインフラなんで、敷設した以上は管理することが義務です。インフラの中でもインターネットだけは、安心と思ったプランも 1年とかで脆弱になるので、タイムスパンが異常に短いんですけどね」

強固なセキュリティこそが、便利な機能の連携を担保している

freeeは多くの企業とAPIで連携しており、その上に自社のシステムを組んでいるのでセキュリティに関する責任は重いものになります。

杉浦「金融機関との連携は freeeのコア機能で、その連携にセキュリティは最も重要な要素です。むしろ強固なセキュリティこそが、便利な機能を担保しています。安全性が保証されないなら、いくら良い機能でも使いたくないじゃないですか。だからセキュリティも『スモールビジネスを、世界の主役に。』という freeeのミッションに、直で関わっているんですよ」

土佐「 freeeに対する攻撃は増えてきていますね。もちろんそれは、良いプロダクトをつくれていることや、持ってるデータの価値が上がっていることの裏返しでもあります。そういう意味では、大企業や大手銀行が受けている攻撃なんて半端ないですよ。彼らの目的はお金なので」

しかしセキュリティは後回しにされていることが多いのが現状です。彼らはそんな世の中に警鐘を鳴らしています。

土佐「セキュリティって悲しいことに、一番後回しになることが多いんですよ。機能が増えたので料金が上がりますというのはしっくりくるけど、セキュリティが向上したので値段上がりましたって、ないじゃないですか。『こういうふうに守るのでお金ください』とは言えません。むしろ安全性の保証は、最低ラインで当たり前のことになっています。だからこそセキュリティは後回しにしたらいけないんですよ」

金澤「そのために僕らは、社内全部署にアンテナ張って、コミュニケーションをとって、いろんな部署と飲みに行って、変なメールが来ただけで知らせてくれる関係性を社内で築いています」

セキュリティの大切さから、セキュリティにおける人材論まで話は移ります。

杉浦「今のエンジニアって、ソースコードがないところからサービスやシステムをつくる経験がない人が多いんですよ。スクラッチビルドしていないから、しくみはわかってないけどなんとなく使って動かしてますっていう状態だと思うんですよね。でも実際は、自分のオケを埋めないとレベルは上がらないんです。興味を持って探求した結果、セキュリティに詳しい人になってる。それが自然ですかね」

金澤「杉浦と一緒に仕事したら詳しくなりますよ（笑）」

土佐「 freeeの CSIRTの責任者からしたら、セキュリティ一本でやりますって人が欲しいわけじゃないんですよね。ベンダーじゃなく事業会社なので、セキュリティエンジニアとしてのキャリアパスをどこまで用意できますかっていうと、なかなかそうもいきません。

逆に長く働いていただくなら、エンジニアチームへの異動もできるようにしたいんです。できるだけ汎用的な技術でセキュリティを構築して、他のチームからも来てもらえるし、こちらからも異動できる。そんな組織、チーム構成にしていきたいですね。

まだまだいっぱいやることはあるので、インフラをつくれる人、貪欲な人は freeeでお待ちしてますよ」