9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。
今回コメントをいただいた方々(社名五十音順・順不同)
後編(本記事)
- サイボウズ 開発本部 PSIRT
- SmartHR セキュリティグループ 岩田季之さん
- メルカリ Security Engineering Team Manager Simon Girouxさん
- Ubie 水谷正慶さん
- LayerX 鈴木研吾さん
前編
- Aqua Security Open Source Team 福田鉄平さん
- カンム 金澤康道さん
- グラファー 森田浩平さん
- Finatextホールディングス 取締役CTO/CISO 田島悟史さん
▼前編記事
- 今回コメントをいただいた方々(社名五十音順・順不同)
- 質問項目
- サイボウズ PSIRT
- SmartHR 岩田季之さん
- メルカリ Simon Girouxさん
- Ubie 水谷正慶さん
- LayerX 鈴木研吾さん
- まとめ(Flatt Security 執行役員・PfS事業CTO 志賀遼太)
質問項目
- プロダクト開発・運用に関するセキュリティ分野で、2022年に取り組んでよかったこと
- 2022年一番印象に残ったセキュリティニュース
- プロダクト開発・運用に関するセキュリティ分野で、2023年に取り組みたいこと・注力したいこと
- プロダクト開発・運用組織が2023年に意識すべきセキュリティトレンド
サイボウズ PSIRT
ブログ:https://blog.cybozu.io/
Twitter:@CybozuSecurity
コーポレートサイト:https://cybozu.co.jp/
2022年に取り組んでよかったこと
- インシデントハンドリングフローの策定・改善
対応自体は経験があり、組織としてインシデントの種類ごとの対応フローはあったものの、開発組織のアクションに特化した対応フローは存在していませんでした。そのため、フローを明文化することにしました。フローを明文化することで、必要な対応や情報集約、現在のフェーズなどを関係者間で認識を併せながら進めることが出来るようになりました。また、フローを作るだけではなくインシデント発生を想定した訓練も行い、そこでの気づきを都度反映させるなど、継続してフローを見直すことにも取り組んでいます。
- バックログ検討時に利用するセキュリティ関連のチェックリストの作成
製品開発チームがバックログを検討するタイミングで、セキュリティ面の問題がないか自身で確認するためのチェックリストを作成し、開発チームに展開しています。このリストを活用することで、より早い段階でセキュリティを考えることもでき、PSIRTの検証フローの最適化にも役に立っています。
2022年一番印象に残ったセキュリティニュース
- ソフトウェアサプライチェーンに関する問題
OSSライブラリの乗っ取りやマルウェアの混入、開発で利用されるサービスのセキュリティインシデントなど、ソフトウェアサプライチェーンに関連する問題が定期的に発生している印象を受けています。自社で作成したツールやライブラリのみでプログラムを組むことは難しい一方で、一度問題が発生すると広い範囲に大きな影響を与えるため、今後も注視していきたい内容です。
- ランサムウェア関連のセキュリティインシデント
情報セキュリティ10大脅威2022の「組織」編第1位に挙がっていた内容ではありますが、昨年も引き続き猛威を振るっていた印象があります。
本件は「SaaSプロダクトの開発・運用」という点において直接関連する話ではありません。しかし、事業継続という意味で大きな脅威となるため、今後も継続的に注意していきたい内容です。
2023年に取り組みたいこと・注力したいこと
- 開発・運用の体制に合わせた柔軟なセキュリティ支援体制の強化
当社の開発チームは、チームによって開発の流れが異なります。そのため、それぞれのチームの特徴に合わせた支援が必要です。これまでも取り組んでいた内容ではありますが、今後も継続して取り組む所存です。
- ソフトウェアサプライチェーンに関する問題への対策
昨年に限った話ではありませんが、ソフトウェアサプライチェーンを狙った攻撃や、OSSライブラリの脆弱性の発覚など、自社で直接管理していないものの、製品への影響が大きい問題が定期的に発生している印象があります。そのため、ソフトウェアサプライチェーンを含めた製品全体のセキュリティを考えていく必要があると思っています。
- セキュリティテストの継続的な改善(例:自動テスト、テスト項目の改善)
セキュリティ品質を向上させるのにテストの改善は不可欠と考えており、今後も継続的に取り組む予定です。
2023年に意識すべきセキュリティトレンド
- マイクロサービスアーキテクチャ
開発が柔軟に行える一方で、セキュリティ面で考慮が必要な点が増えるようにも感じています。マイクロサービスに関するセキュリティをどのように考えていくかは、今後の課題になると思っています。
- ソフトウェアサプライチェーン
一度問題が発生すると影響範囲が大きく、かつ自社のみでの対策が難しいように思っています。とくにライブラリに関しては、依存関係を機械的に確認できるようにしていても、確実に影響がないと確認することへの難しさを感じています。本件は、今年に限った話ではなく、今後も継続して注目したいトピックのひとつです。
SmartHR 岩田季之さん
Twitter:@tiwtwit
コーポレートサイト:https://smarthr.co.jp/
2022年に取り組んでよかったこと
2022年には、QAチームとセキュリティチームの共同で、SASTやDASTなどのツールによるセキュリティテストの運用、内製でのアプリケーションの脆弱性診断などの取り組みを始めることができました。
多数のプロダクトがアジャイルな手法で日々開発が進められていく中で、タイムリーにアプリケーションのセキュリティテストを実施することで、プロダクトのセキュリティレベルを向上していけるようになってきています。
プロダクトに詳しいQAチームと協力することで、特に手動での脆弱性診断実施時に、プロダクト機能やビジネスロジックを踏まえた観点で「できてはいけないこと」を考えることができ、内製ならではの診断が可能になっていると感じています。
また開発チームとのコミュニケーションの面でも、QAチームがこれまでに築いてきた関係値があるおかげで、円滑なコミュニケーションができていると思います。
2022年一番印象に残ったセキュリティニュース
Heroku/Travis CIからのGitHub OAuthトークンの流出などの、プロダクトの開発や運用の基盤として利用しているクラウドサービスでのインシデントのニュースが特に印象に残っています。ユーザーに直接影響のなかったものも含め、自社でも利用しているような著名なサービスでの事例も多かったように思います。
プロダクトの開発や運用にはこれらの基盤となるサービスを多数使用しており、かつそれらの著名なサービスは基本的に「大丈夫だろう」と信頼して利用してしまっているところがありました。しかし、仮に自社のプロダクト自体には深刻な脆弱性が無い状態にできていたとしても、基盤となるサービスの侵害を通じて自社サービスに深刻な影響を受けてしまうという可能性が、現実的にありうるものだということをこれらの事例で改めて認識させれられました。
2023年に取り組みたいこと・注力したいこと
QAチームとセキュリティチームとの共同でのセキュリティテストなどの取り組みを続けて、セキュリティの「シフトレフト」をさらに進めていきたいと思っています。変化を続けるプロダクトのセキュリティを効果的に向上するためには欠かせない取り組みだと思っています。
可能な部分はツールによる自動化を進めつつ、自動化ではカバーしきれない部分の手動でのテストやレビュー、セキュリティナレッジの共有など、やれることはたくさんありますが実際に試してみないと効果がわからない部分もあるので、少しずつ検証しながら継続的に実施できて効果のあるものを見極めていきたいです。
また、それと合わせて、基盤となるサービスやライブラリの侵害、ソーシャルエンジニアリングなどの攻撃も増えてくると考えられるので、攻撃が発生した際の影響を小さくできるような取り組みも考えていきたいです。何か具体的な対策の良いアイディアがあるわけではありませんが、攻撃のシミュレーションなども行いながら、アクセス権や検知の評価と改善を地道にやっていくことになるのかなと思っています。
2023年に意識すべきセキュリティトレンド
基盤となるサービスの侵害や、オープンソースライブラリの侵害など、自社サービス自体に脆弱性がなくても影響を受ける可能性のある攻撃は意識しておきたいと思っています。
攻撃者からすると、このような基盤となるサービスやライブラリは、侵害に成功すれば多数の組織へのアクセスの足がかりとなる狙いがいのあるターゲットだと考えられるため、今後も同様の事例は増えていく恐れがありそうです。
また、ソーシャルエンジニアリングのような人を騙す攻撃も巧妙になっており、こちらもシステム自体に脆弱性がなくても被害を受ける可能性があり、上述の基盤となるサービスの侵害などの要因の一つでもあります。
自社のシステムをセキュアにして脆弱性の無い状態にしていく活動はもちろん引き続き必要ですが、それに加えこのような自社だけ/システムだけでは防ぎきれない侵害が発生した場合でも、影響をなるべく小さく抑えてビジネスを継続できるような仕組みや体制も考えていく必要があるのではないかと思います。
メルカリ Simon Girouxさん
コーポレートサイト:https://about.mercari.com/
2022年に取り組んでよかったこと
2022年は、2021年に発生したソフトウェアサプライチェーン攻撃によるインシデントを受けた改善や対策強化などの概ねの目標を完了させる事ができた年でした。主要プロダクトへのSAST/DAST/SCAの導入、コンテナイメージの脆弱性検出、ソースコード上のHard-coded Credentialの検出とゼロ化(Secret Scanning)、など多岐にわたりました。
2022年一番印象に残ったセキュリティニュース
- ソフトウェアサプライチェーン攻撃及びランサムウェア攻撃の増加
- 内部告発等を通じたセキュリティやプライバシーに関わる企業体質の露呈(経営層のリテラシー、カルチャーの腐敗、不充分な体制、等)
2023年に取り組みたいこと・注力したいこと
Mercariのセキュリティ&プライバシーは、By Design, By Default, At Scaleをビジョンに掲げて、プロダクトの安全性を保証するためのSustainableな仕組み、システム、プロセスを自社開発しています。
Mercariのプロダクトのセキュリティに関わる2023年の目標は、「At Scale」に重点を置く必要があると考えています。単純労働的な作業を極力減らし、スマートな働き方を目指したいと思っています。具体的には、セキュリティテストの自動化/脆弱性管理(SAST/DAST/SCA)、Github内リポジトリのヘルスチェックツール(脆弱性リスクスコア判定)などの適用カバレッジ100%を目指すことです。
また、CI/CD Pipeline及びProduction環境の安全性向上をさらに推進し、昨今のソフトウェアサプライチェーンのリスクを撤廃していきたいと思います。
加えて、自社開発しているSOARの保有する脅威検知機能の自動化と検知精度をさらに向上させ、Playbookの充実化を図りたいと考えています。
2023年に意識すべきセキュリティトレンド
ソフトウェアサプライチェーン攻撃がますます増加しており、ソフトウェアサプライチェーンの保護がますます重要になるでしょう。最近では1月初旬のCircleCIを起点とした問題が知られています。全てのアプリケーションのSecretの失効及びローテーションといった作業は大きな企業になるほど対応負荷が大きいでしょう。長期間使えるSecretは無くしていき、短期間のみ使えるSecretをスタンダードにしていく必要があります。
また、OS及びブラウザベンダが2022年に発表したPasskeyは、セキュリティとUXの抜本的向上が期待されるものの、仕様や挙動の安定性や、相互互換の不足などにより、サービス提供企業の開発者を悩ませています。2023年に大きな改善が期待されるセキュリティ技術です。
Ubie 水谷正慶さん
ブログ:https://mztn.hatenablog.com/
Twitter:@m_mizutani
コーポレートサイト:https://ubie.life/
2022年に取り組んでよかったこと
社内で開発しているプロダクトが利用している3rd party packageの利用状況と脆弱性の有無を統括して収集・管理する仕組みの導入・運用は社内のリスク管理の側面から良い取り組みであったと考えています。
また、開発においては一般的な静的解析ツールだけでなく、独自のルールで静的解析できる仕組みを導入したことによって、リソースの確認漏れやログの記録漏れなどを防ぐことができるようになりました。
2022年一番印象に残ったセキュリティニュース
所属している会社と直接は関係しないのですが、医療機関へのランサムウェア攻撃が活発になっているニュースが印象的でした。
その昔「ITは人の命が関わるような情報は扱わないので、セキュリティはそんなに重要ではない」とする風潮がありましたが、今や人々の健康や命に関わるようなシステムがITで扱われ、それが脅威にさらされる時代になったというのを痛感しています。
2023年に取り組みたいこと・注力したいこと
注力したい点は2つあり、1つは開発しているプロダクト自身の脆弱性を検出・低減していく現実的な方法を模索していきたいと考えています。現在取り組んでいる静的分析をより高度化したり、Fuzzingのような手法を取り入れたり、動的かつ自動な脆弱性診断を取り込みたいです。
もう1つは脆弱性のリスク判定、修正を組織内でよりスケールするような体制にし、各チームが自律的かつ機動的に実施できるような仕組みと文化を醸成していきたいと考えています。
2023年に意識すべきセキュリティトレンド
昨今、サプライチェーンに対する攻撃が活発化しており、この傾向は継続するのではないかと予想しています。特に開発に利用しているサービスが危殆化してプロダクトへ影響を及ぼしたり、OSSに悪意あるコードが混入されるといった攻撃による影響が大きくなることを懸念しています。これに対抗するため、サプライチェーン攻撃を早期に組織内で気づくようにしたり、攻撃を受けても影響範囲を限定可するような取り組みが一層重要になってくると考えてます。
LayerX 鈴木研吾さん
ブログ:https://ken5scal.notion.site/54bda4932da14add9e9911ab3e9a6e5c
Twitter:@ken5scal
コーポレートサイト:https://layerx.co.jp/
2022年に取り組んでよかったこと
逆説的ですが、セキュリティそのものではなくプロダクトそのものに取り組めたことです。プロダクトの理解の深さは、リスクマネジメントの品質に直結します。
ここでいうプロダクトへの取組みは、法・規制に制限される要件定義、そこから生じるデータフローとデータ設計に始まり、その実装と稼働させるためのインフラと環境を構築するといったことを指します。
これにより昨今のSWサプライチェーン攻撃が可能となるパスやmisconfigurationなどの、リスクマネジメントに欠かせない脅威や脆弱性における分析の解像度を一段上げることができたように思います。
また、社内基盤への取組みもよかったです。
社内基盤についてはプロダクトと直接的に繋がってないように思われるかもしれませんが、CloudFlare/Twillio/Uber/Okta/Lastpass/CircleCIなどにおけるインシデントは開発環境における従業員(あるいは関連者)のアカウント侵害を起点にしているものが多いです。今後はAPIトークンの漏洩による起点も増えていくでしょう。
現代の境界防御としてIAM/IGAは外すことができず、その中心でグリップを握ることが寛容です。
2022年一番印象に残ったセキュリティニュース
先程あげた各著名プロダクトのインシデントも捨てがたいのですが、某市町村の個人情報USB紛失に一票を投じようと思います。
このインシデントを初めて知った時、外部記憶装置ではなく専用線などのネットワーク越しのデータ移行をなぜしなかったのか不思議でした。
ですが、2015年の日本年金機構の情報漏洩の結果、三層分離が産まれ、そして自治体のデータ移行が物理層のみに限定されたことを思い出しました。
もしそれを契機に今回のオペレーションが生み出されるのであれば、特定のリスクへの対策が新しいリスクを生み出してしまったということになります。「ポリシーも実装も新陳代謝する生物(なまもの)であり、代謝しなければ腹を壊す」というのが、自分にとっての新しいパラダイムです。
そういった意味では、説明責任を前提としたうえで、ガバナンスの最も上流にあるポリシーを積極的にガラガラポンしていってもいいのではないでしょうか。
いみじくも同じ公的機関が「重要インフラの情報セキュリティ対策に係る第四次行動計画」で「将来の環境変化を先取りした包括的な対応」と記述していましたが、手段、目的、その背景を理解し、過去をリスペクトしつつ、変化を恐れない・恐れる必要のない環境を整備しなければなりません。
2023年に取り組みたいこと・注力したいこと
SaaSプロダクトによって提供する付加価値は、ソフトウェア開発・運用から直接的に生み出されています。
したがって、ローカル開発からプロダクトとしてのビルド、ワークロードへのデリバリ、そしてプロダクトへのデプロイというプロダクト・ライフサイクルにおいて一貫して証明することが、LayerXが提供する法人支出管理SaaS「バクラク」の付加価値における信頼性を確保するうえで重要と考えています。
そういった意味で、sigstoreによるgitsign, cosign, flucio, rekorやSLSAといった技術要素は常に頭の片隅に置きたいです。
また、現在のセキュリティは統制上のポリシーなどのセキュリティマネジメントと、実装上のセキュリティの間をリンクする要素に欠けています。
それを象徴するのが(形骸化している)セキュリティチェックですが、これをデジタル化していく必要があります。
具体的には普及するかはおいておいてNISTのOSCALやOPAによる、策定されたポリシーと実装までのガバナンス・パイプラインの構築です。
私自身はクラウドmisconfigurationも一つの脆弱性と捉えていますので、Aqua社のTrivyが実装したようなCSPM技術要素も重要と認識しています。
これらをGoogleのTrillianを使った証明可能な形で内外に示すことができると、当社のプロダクトをリアルタイムにセルフサービスで検証できるTrustfulな世界に一歩近づけます。
一方、こういった証明可能な仕組みは検証相手がいればこそです。「コンテナ物語」にもある通り、技術の普及にはステークホルダーへの浸透が重要であり、2023年単体で完全にやりきるのは(優先順位など考えて)難しいと思います。やれたとしても従業員向けの社内アプリケーションなどで、パイロット的に試すことが現実解でしょう。まだまだ新興企業である当社においてはセキュリティ開発・運用で未整備のことが多くあります。いい意味でのレガシーセキュリティや新たな脅威への対応も同時に重要です。ROIを意識しつつ、トレンドとなっている対策が本質的なコントロールであるかを常に批判的に見なければなりません。
理想を追求しつつ地に足をつけるには、全体のガバナンスにエンジニアリングでアプローチする同志を増やす採用こそが、最重要といえます。
2023年に意識すべきセキュリティトレンド
APIキーやトークンの管理です。セキュリティ侵害の一つの到達点としてLateral Movementや特権昇格が挙げられるでしょう。クラウド時代およびDX時代に突入し、様々な職種のかたがGASやiPaaSを使って手軽にサービス間連携ができるようになりました。しかし、同時にGoogleの四半期脅威レポート「Threat Horizon」では、クラウド資産の侵害の20%がAPIキーの侵害によっておこされているとのことです。こういった秘密情報はVault上での管理について経験がないとなかなか意識されづらいと思います。そういったことから利便性に惹かれて、強い権限をiPaaS、GAS、IT資産管理サービスに気軽にわたしたり、Jupyter NotebookやJenkinsのワークブックに記載するというのは良く聞く話です。
勿論検知によって多層防御を図るのもいいですが、予防できるのであれば常に予防が優先されるべきです。そういったことから、Workload Identityなどプラットフォーム間でのOpenID Connect連携が可能なサービスが増えたことは、歓迎すべきことです。もちろんWorkload Identityそのものにも脆弱性はあるかと思いますが、それでも静的なアクセストークン管理よりもかなりマシと言わざるをえません。是非、各社がそれに続いてほしいと思っています。
まとめ(Flatt Security 執行役員・PfS事業CTO 志賀遼太)
Twitter:@Ga_ryo_
コーポレートサイト:https://flatt.tech/
前半後半共に多様な領域・立場の方から様々な考えを伺うことができました。この場をお借りして、ご協力いただいた方々に改めてお礼を申し上げたいと思います。
やはり後半のコメントでも、2022/2023年のニュースやトレンド、今後の注力点といった観点では「ソフトウェアサプライチェーン」に関するコメントは非常に多くいただく結果となりました。
一方で、2022年の取り組みとしては実際にインシデントを体験したSimonさま(メルカリ)を除き、着実に「プロダクトそのもののセキュリティ」に励んだ1年であったようにも感じられます。
これは、鈴木さまのご回答にもあるSigstoreの各種ツールを含めソフトウェアサプライチェーンセキュリティに関する基盤としてもまだ発展段階にある*1ということも背景としてありそうです。2023年は基盤となるプロダクトの更なる発展に期待したいですね。
また、Simonさまのご回答にあるように、メルカリは2021年にソフトウェアサプライチェーン攻撃を受け、実際の攻撃を肌で理解して対策を進めている数少ない組織です。こういった企業がサプライチェーンセキュリティに関する知見*2を共有していただけるのは非常にありがたく、コミュニティの発展にも期待をしたいところです。
「プロダクトそのもののセキュリティ」に関しては、開発チームに寄り添って支援を行う(サイボウズ PSIRTさま)ことや、QAチームを巻き込んでの連携の強化(岩田さま)、自身がプロダクトそのものに直接的に関わる(鈴木さま)など、より開発現場に寄り添って進めることの重要性が確認された結果の取り組みであったように感じられます。
一方で、印象に残ったニュースとして多く挙げられているソフトウェアサプライチェーン攻撃やランサムウェアを用いた攻撃など、高度化する攻撃への対応も考える必要があります。こういった課題感への回答として、インシデントハンドリングフローの整備(サイボウズ PSIRTさま)やチームごとのセキュリティ文化の醸成(水谷さま)、そういったガバナンスにアプローチする人を増やす(鈴木さま)ことでの組織としての取り組みが挙げられました。こういった取り組みにより、開発組織という枠を超えて、より大きな組織としてサイバーレジリエンスを高める必要性が出てきているとも感じられます。
Flatt Securityとしても、良き「プロダクトセキュリティの実践のためのパズルのピース」となれるように、また「より開発現場に寄り添って進める」ことが出来るようにプロダクト/プロフェッショナルサービスの両事業で誠心誠意努めてまいりますので2023年も宜しくお願いいたします!
(編集/寺山ひかり)
▼前編 flatt.tech
*1:例えばcosignなどもv1.0.0は2021年にはリリースされていますが、fulcioとの連携など多くの機能がExperimentalとして扱われています。
また、fulcioもSigstoreのAPI Stability PolicyでいうGeneral Availabilityに属する機能はまだ存在しないようです。