FLINTERS Engineer's Blog

FLINTERSのエンジニアによる技術ブログ

セキュリティを自分ごと化する。CERTチームのご紹介

こんにちは。エンジニアリングマネージャーの細川です。

この記事はFLINTERSブログ祭りの一環であり、テーマは #FLINTERS #セキュリティ です。

FLINTERSは社を挙げてセキュリティに日々取り組んでおり、つい先日もISMSという情報セキュリティ管理規格の最新版に対応完了したところです。
今回はFLINTERSのセキュリティ活動の重要な一角を担う FL CERT をご紹介します。


なんとなくニンジャなアイキャッチにしました

FL CERT

FL CERT(エフエル サート)はFLINTERS Computer Emergency Readiness Teamの略で、直訳するとコンピューターセキュリティの緊急事態に 備える チームです。
各部署の有志社員が任意参加する委員会形式で、セキュリティチェックや教育研修を全社向けに行うことによりセキュリティを自分ごととして捉えてもらう啓蒙活動をしています。
ちなみにインシデント対応は別の枠組みがあるためFL CERTのスコープ外となっています。

FL CERTの成り立ち

FL CERTは2018年に設立されました。設立当時、事業環境として個人情報のマーケティング活用や取引社数増加が起き、システムとデータの重要度や規模は増していました。一方でシステム開発運用上のセキュリティ指針や知識獲得機会が社内に存在しなかったため、セキュリティリスクは潜在的に増大していました。
そこで会社としてのセキュリティ指針を作り運用し、リスクアセスメントできるようになることを目指してFL CERTが設立されました。
以降は任意参加の任期一年制で運営しており、途中2021年にISMS認証に伴う情報セキュリティ委員会の設置なども経て現在に至ります。

活動の主軸はセキュリティチェックと教育研修の二本柱です。その他にも情報セキュリティ委員会の下部組織としてISMS情報セキュリティ管理策に対応する社内ルールの浸透も行っています(例:パスワードマネージャーの導入推進)。

メンバー数は当初6名でしたが、セキュリティ文化の醸成により現在は14名に増え、活動量も増えました。 また以前は有識者だけで構成されていましたが、近年では意欲ある若手が毎年増え、FL CERT自体がメンバーにとってスキルアップの機会になっています。

セキュリティチェック

FL CERTが開発チームに対してセキュリティチェックリストを配布し、現状と対策の必要性について報告を要請します。リスクアセスメントで言うところのリスクの特定、分析、評価に相当します。

セキュリティチェックリストは複数のシチュエーションと対策観点で構成しています。

大まかなシチュエーションは下記の通りです。より細かい観点は割愛します。

  • ユーザー/開発者が成果物を利用する
  • 開発チームが成果物を開発する・運用する
  • 成果物がデータを生成/保持/参照/更新/削除する
  • 開発チームがデータを直接取り扱う
  • 成果物が他システムにアクセスする
  • 成果物が他システムからアクセスされる
  • 未知のリスクに備える

FL CERTは開発チームに対してチェック回答の強制力は持つものの、対策の強制力は持ちません。理由は2つあり、個々のシステムへのセキュリティ要求は開発チームの方が詳しいのと、FLINTERSが扱うシステムの多くは持ち主が顧客企業でリスク評価は最終的には顧客判断になるためです。
一方、システムの開発運用を請け負うプロフェッショナルとして、リスクを顧客に通知することや、基本的な対策(例:認証情報の安全な保管)は必須です。これらを担保できたことは会社として大きな進歩でした。

また、回収したセキュリティチェック結果はFL CERTが集計して全システム横断の観点別年度別で傾向や推移を分析し、レポートとして全社にフィードバックしています。
セキュリティの現状を人材や仕組みの面から見つめ、次の一手を考えるのに非常に有効な情報源になっています。

教育研修

年1の定期的な研修を講義テスト形式で行っています。対象には非エンジニア職を含み、毎年全員参加です。
内容は情報セキュリティの3要素、認証と認可など、システムを安全に使うことと作ることの両方につながる基礎的なものです。
セキュリティを自分ごと化してもらう・身近に感じてもらうための工夫を多く取り入れており、毎年メンテしています。
キーメッセージは「桶の理論」です。壊れた水桶に例えて情報は一番弱いところから流れていくため、底上げが何より大切ということです。

また、最近では管理経営者向け研修も行いました。こちらはリスク分析、評価への関心を高めることを目的としています。

振り返り

FL CERTが無かった頃と現在を比べると、会社の至るところでセキュリティに関する議論が行われるようになりました。教育研修による基礎知識獲得と、セキュリティチェックによる検討の機会が大きく寄与していると考えられます。

またセキュリティチェック結果の要対策の割合も年々減少しており、システムのリスクを適切に抑え込むことができている状態へと徐々に近づいています。

上手く行く秘訣

セキュリティはしばしば組織内で意見の対立を引き起こしやすいトピックです。 たとえばセキュリティチェックは開発現場にとってそれなりに時間のかかる作業であり、顧客の直接の依頼ではなくFLINTERSの自主的な活動と提案なため、ともすればぞんざいに扱われてしまうものです。

この点についてはFLINTERSでは比較的良好に進行できていると認識しています。
その秘訣は、やはりセキュリティ推進サイドと現場サイドとのコミュニケーションと考えられます。

  • 研修や平時の情報発信によるセキュリティの重要性の啓蒙
  • FL CERTはチェック観点こそ提示するものの考える余白が現場に多くあること
  • チェック結果に対する統計レポートのフィードバック

このような点が、結果的に「やらされ感」の軽減、取り組みの効果が出ていることの実感につながっているのだと考察します。

今後の展望

セキュリティ強化に取り組むFLINTERSですが、会社としての課題もまだまだ多く残っています。

  • 広さの拡大:サプライチェーンのリスク管理
  • 深さの拡大:セキュアプログラミングの発展的な教育研修
  • 効率化:セキュリティ管理の業務フローが複数あることによる煩雑さの軽減

など、ここに書ききれないくらいあります。幸いなことに管理経営層の関心の高まりやFL CERTメンバーの増加が追い風となっているので、今後も継続的にセキュリティ強化に取り組んでいきます。

おわりに

FLINTERSはセキュリティ感度の高い仲間を随時募集しています。 一緒に安全で価値の高いシステムを作りましょう。