#FlattSecurityMagazine

セキュリティとプロダクト開発の今を伝えるメディア

各領域のスペシャリストが結集しDevSecOpsに取り組む日本経済新聞社のプロダクトセキュリティチーム【プロダクトセキュリティ組織の作り方 #3】

インタビュー プロダクトセキュリティ セキュリティエンジニア 日本経済新聞社 藤田尚宏


組織としてプロダクトセキュリティに向き合っている企業のノウハウや現場の課題などをお伝えする特集「プロダクトセキュリティ組織の作り方」。

第3回の今回は、日経電子版をはじめとする様々なデジタルサービスの内製開発を進めている株式会社日本経済新聞社の取り組みについて、同社CDIO室セキュリティエンジニアの藤田尚宏さんにお話を伺いました。

各領域のメンバーが結集したチームでプロダクトセキュリティを牽引

株式会社日本経済新聞社 CDIO室 セキュリティエンジニア 藤田尚宏さん

ーー藤田さんの現在のお仕事について教えてください。

2022年4月に1人目のデジタルプロダクト専任のセキュリティエンジニアとして入社し、プロダクトセキュリティチームの運営をメインで進めながら、様々なプロダクトセキュリティ施策に携わっています。弊社では日経電子版を始めとするメディア系・情報系のプロダクトを内製開発しており、それらのプロダクトのセキュリティレベルをより高めるための取り組みを進めています。

具体的には、以下のようなDevSecOps推進のための施策を行っています。

  • クラウドセキュリティに関する設計レビュー、脅威モデリング
  • クラウドのセキュリティ監視基盤構築
  • プロダクト横断的なインシデントへの対応、仕組みづくり
  • バグバウンティなどのセキュリティイベント企画、運営
  • プロダクトセキュリティチームの活動内容の社内外発信

最後に挙げた社内外への情報発信については、弊社のプロダクトセキュリティチームの活動について社内外のより多くの方に知ってもらうとともに、そういった情報を継続的に発信することで少しでも世の中のセキュリティ意識向上に寄与したいという思いもあり、力を入れて取り組んでいます。

日本経済新聞社の技術ブログ(セキュリティ関連)

日本経済新聞社のエンジニア向けTwitter「NIKKEI Developers」

ーー日本経済新聞社のプロダクト開発組織・監査組織・プロダクトセキュリティチームの概要について教えてください。

プロダクトにより開発スタイルが異なるため、開発組織のあり方も様々です。日経電子版の開発チームなど内製開発を中心としたチームもありますが、業務委託や外部の開発会社とともに開発を進めているチームもあります。開発に関わっている社内のメンバーはデザイナーを含めると、現在約80人ほどです。

監査組織は、全社的なガイドラインやチェックリストの作成・運用やプロダクトに対するガバナンスを担当しています。

プロダクトセキュリティチームには、私を含め現在10人が所属しています。そのうち、専任のセキュリティエンジニアは私一人で、それ以外のメンバーは全員兼務です。

兼務メンバーの主務は様々で、API・バックエンドエンジニアからインフラチームまで、各領域のエンジニアがいます。メンバーに共通しているのは、「これまで何らかの形でセキュリティに関わってきたことがある」という点です。メンバーそれぞれから各チームの取り組み内容を吸い上げた上で、プロダクトセキュリティ施策の全体像やトリアージなどを考え、メンバーと一緒に施策を実行していくのが私の役割です。

ーープロダクトセキュリティチームは、プロダクト開発組織や監査組織とどのように関わっていますか?

プロダクトごとに開発体制やスタイルが異なるため、各プロダクトに関するキャッチアップは丁寧に行うようにしています。日経IDなど、決済と関係するプロダクト・サービスの開発チームのメンバーとは隔週で定例MTGを行って話し合うようにしていますし、その他のプロダクトの開発エンジニアとはSlackなどで日常的にコミュニケーションを取るようにしています。

監査組織とは、主にセキュリティ監査において連携しています。弊社では、個人情報や機密情報などを保持する、高いセキュリティレベルが求められるプロダクトについてはプロダクト開発組織以外の第三者レビューが必須となっており、そのレビュー対応をセキュリティチームが対応しています。そのため、プロダクトに対する監査が行われる際は、セキュリティチームも同席し、これまでどのようなレビューをしてきたのか説明しています。

得意分野が異なるメンバーが集まることで広い領域をカバー

ーー藤田さん以外のメンバーは全員兼務とのことですが、プロダクトセキュリティチームはどのように活動されていますか?

プロダクトセキュリティチームでは、毎週水曜日と金曜日にオンラインの定例MTGを開催しています。そのうち、水曜日はセキュリティ実務の担当者のみが集まる「実務者検討会」、金曜日は部長も含めた「チーム定例」となっています。クラウドのパラメーターに関する議論やシングルサインオン(SSO)の導入手法などのセキュリティ施策の実務レベルの調整は実務者検討会の中で行い、新たなサービスの導入など予算執行を伴う活動の意思決定についてはセキュリティチーム定例で行っています。この2つの定例MTGが、チーム全体でのコミュニケーションの場となっています。

2つの定例で議論した内容や決定事項などについては、兼務メンバーから各チームに共有してもらっています。

ーーメンバーの皆さんはこれまで何らかの形でセキュリティに関わった経験があるとのことでしたが、どのような人が多いですか?

メンバーの経歴や得意分野は様々ですが、AWSやCI/CDなど各領域に精通したスペシャリストが揃っている印象です。得意分野の重複があまりないので、チーム全体で広い領域をカバーできているように思います。

例えばインフラエンジニアならネットワーク境界やクラウドの設定や秘密鍵の保護、バックエンドエンジニアならウェブアプリケーションセキュリティや不正アクセス対策など、実際の開発業務を通じて得た知見があるため、他のチームから相談があったときに心強いです。

ーー施策の優先順位付けや担当割はどのように行っていますか?

私は日々、セキュリティに関する情報を収集するようにしており、その時の攻撃トレンド/セキュリティトレンドに照らし合わせて、重点的に推進するセキュリティ施策をチームに提案することが多いです。

担当については、メイン担当だけでなく、サブ担当もつけるようにしており、案件特性やメンバー個々人の得意分野に応じてアサインする方式、もしくは、挙手制で希望者を募る方式のいずれかで決めています。私は、大筋の進め方をすり合わせた後は主副担当に進行をお任せし、困っている時のみ適宜サポートするというスタンスで対応しています。メンバーに小さな成功体験を積み重ねてもらうことで、自己肯定やモチベーションにつなげてほしいという狙いがあります。

「メディア企業ならではのやりがい」を実感

ーープロダクトセキュリティチームはどのように形成されていったのでしょうか?

チームは2021年に発足しました。当時、CDIO室長とチームのコアメンバーが相談しながら、メンバーのアサインを決めていたと聞いています。「社内にプロダクトセキュリティチーム経験者を増やしていきたい」という思いから、定期的なメンバーの入れ替えや見直しも行い、チームのリーダーもメンバーの持ち回りだったそうです。

そのようにチームづくりが進んでいたタイミングで、1人目のプロダクトセキュリティ専任エンジニアとして、2022年4月に私が入社しました。

ーー入社されてから、1人目のプロダクトセキュリティ専任エンジニアとして、どのような形で社内の意識づくりを進めてきましたか?

私が入社した日から、Slackの分報チャンネルで毎朝9時台にセキュリティニュースを発信してきました。自社の記事はもちろんですが、#FlattSecurityMagazineなど他社の技術ブログやオウンドメディアも含めてくまなくウォッチし、ニュースを収集してまとめています。社内でも好評で、現在では約100人を超えるメンバーが私のチャンネルに参加してくれています。

この活動は、社内に対するセキュリティ意識の啓発につながっているようです。私がシェアした新しいプロダクトやセキュリティトレンドに関する記事に対して、メンバーから「気になる」などとリアクションが来て、そこから会話に発展し、実際の施策につながることも少なくありません。

藤田さんの分報チャンネルの様子①

藤田さんの分報チャンネルの様子②

藤田さんの分報チャンネルの様子③

エンジニアだけでなく記者も参加してくれているので、私の発信が新たな取材のヒントにつながることもあります。昨年、日経電子版がRFC 9116 - A File Format to Aid in Security Vulnerability Disclosure(security.txt)に対応しました。私が主導して進めた施策だったので、分報チャンネルで共有したところ、記者がsecurity.txtに興味を持ち、日本経済新聞の紙面でコンテンツとして取り上げてもらえたことがありました。

▼security.txtについて取り上げた日本経済新聞の記事
www.nikkei.com

▼藤田さんが執筆した、日本経済新聞電子版のsecurity.txt対応についての解説記事
hack.nikkei.com

プロダクトセキュリティの取り組みを、自社メディアを通じてより多くの人に発信できるという、メディア企業である弊社ならではの醍醐味もあると感じています。元々、私自身「世の中の人たちに広くセキュリティに関する情報を届けたい」という思いを強く持っていました。一方で、自分もしっかりセキュリティに取り組みたいと考えていたので、メディア企業のプロダクトセキュリティに携わりながら、その取り組みを社外に発信するという現在のキャリアを選択しました。

私の分報を通じて、「社外から集めた情報をもとに社内で議論し、取り組みを進め、社外に発信していく」というサイクルが定着してきました。様々な属性の社内のメンバーのコミュニケーションが活発に行われており、セキュリティを軸にした1つのコミュニティが出来上がったように感じています。

ーーメディア企業ならではの「プロダクトセキュリティのやりがい」があるんですね。

自分たちが取り組んできたことを発信しやすいカルチャーがあると感じています。施策そのものとしてはWebセキュリティとクラウドセキュリティの2つがメインになるので、他の企業が取り組んでいることとあまり変わらないかもしれませんが、社外に向けたアウトプットを後押ししてくれる環境があります。

私個人としてもプロダクトセキュリティ、特にクラウドセキュリティのノウハウ共有や情報交換を積極的に行っていきたいと思っているので、社外への発信はプライオリティを上げて対応しています。

チームが目指すDevSecOpsのビジョンに向けて施策を展開

ーー入社してから、プロダクトセキュリティの対応方針をどのように整理し、対応してきましたか?

まず、今後プロダクトセキュリティチームが取り組んでいくDevSecOpsの取り組みを概観図という形で整理しました。各開発チームの取り組み状況を個別にヒアリングしたり、セキュリティチームの課題設定を検討したりしながら、3ヶ月ほどかけて作成していきました。

藤田さんが整理した、プロダクトセキュリティチームが取り組むDevSecOpsの概観図

図では、Dev/Opsそれぞれのフェーズの中にセキュリティをどう組み込んでいくかを示しています。昨年度中にチームが取り組むべき課題やミッションを整理し明確化できたので、今年度は具体的なアクションの実行を進められています。メンバーも増え、チームとしての活動量も昨年以上に増えているように感じます。

ーー直近では、クラウドセキュリティに関する設計レビューに注力されているということでしたが、具体的にはどのようなことに取り組んでいますか?

私が入社するまでは、設計レビューは自由形式で行われていました。自由形式のレビューの場合、どうしてもレビュアーによってスキルや観点に偏りが出てしまうという課題がありました。

この課題を解決するために、ちょうどDevSecOps概観図の整理が終わったタイミングで、脅威モデリングの手法を取り入れた設計レビューを提案しました。私の方で叩き台を作成し、実際にいくつかレビューを重ねていきながらブラッシュアップしていきました。自社プロダクト中心の設計レビューですので、他の案件で実施したセキュリティレビューの内容を展開しやすく、対応案件が増えるほど脅威モデリングの精度が高まるという副次的な効果もありました。

この取り組みについては、技術書典14で販売した技術同人誌「Nikkei Development Book VOL.4」にまとめています。

セキュリティ人材に必要なスキルセットや推奨資格などを明確に定義

ーープロダクトセキュリティチームのメンバーのスキルセットは多様ではないかと思いますが、メンバーのさらなるスキル向上のために取り組んでいることがあれば教えてください。

Notionに「セキュリティ人材プロジェクト」というページを作り、セキュリティ人材に身に付けてほしいスキルセットや推奨する資格・研修などを一覧化し、まとめました。先程お話したDevSecOpsの概観図の作成と同時並行で着手していたもので、こちらも入社3か月後にほぼ完成させることができました。

このページは独立行政法人情報処理推進機構(IPA)が発表している「ITSS+(プラス)セキュリティ領域」の要件を参考にして作ったものです。セキュリティを専門的に学んでいきたい人と、サブスキルとしてセキュリティを学び「プラス・セキュリティ」として活躍したい人双方のニーズを満たすことができるよう、セキュリティ人材とプラス・セキュリティ人材のそれぞれに必要なスキルセットを整理しています。

▼IPAの「ITSS+(プラス)セキュリティ領域」
www.ipa.go.jp

「セキュリティ人材プロジェクト」では、以下のような内容を掲載しています。

  • セキュリティ人材の定義
  • 弊社におけるセキュリティ人材の活動領域
  • 各チームの中でのセキュリティ人材のポジションや役割定義
  • レベル別おすすめ研修/自己学習(オンデマンド・福利厚生・有償講習など)
  • レベル別推奨資格
  • 学習時間の目安
  • 社外で開催されるセキュリティイベントの一覧 など

このページの記載内容に基づいて、「現状どのレベルか」「どのレベルを目指したいか」などの希望を、各メンバーに1on1でヒアリングするようにしています。受講を希望する研修がある場合は、上司に相談して受講してもらうようにしていますし、取得を目指す資格や学習テーマが明確にある場合は予算で書籍を購入して、各自で学習を進めることもできます。

キャリア採用の募集要件も、このページに基づいて考えています。社内に不足しているスキルセットを洗い出した上で、募集要件に反映させています。

ーーセキュリティ人材として、「プラス・セキュリティ人材」のメンバーにどのようなことを期待されていますか?

将来的には、「社内のメンバーがセキュリティを意識しなくても、自然とセキュリティが運用され、担保されている状態」を目指したいと思っています。そのためには、セキュリティ専任でなくても、セキュリティ意識が高いメンバーを増やしていくことが必要不可欠だと考えています。プラス・セキュリティ人材のメンバーがその架け橋になってくれることに期待しています。

プロダクトセキュリティチーム経験者が開発現場で活躍する未来を目指す


ーープロダクトセキュリティチームにおける課題はありますか?

仕事の幅が広がり、同時進行の施策も増えているので、チーム運営やタスク管理の仕方を見直したいと思っています。

現状、実働人数が8人程度なので、まだ私の方で全員の進捗を把握しチームを取りまとめていくことができていますが、この先メンバーが増えたら、チームを分割して運営していくことも検討しなければなりません。チームの分割軸を今後検討していくつもりです。

ーー今後、プロダクトセキュリティチームで重点的に取り組みたい課題はありますか?

今後は、クラウドセキュリティに一層注力していく予定です。

最近、社内にもクラウドネイティブアプリケーションを開発するメンバーが増えてきており、クラウドネイティブアプリケーションのセキュリティレビューを行う場面も増えてきています。アンチパターンに遭遇しても適切なレビューが行えるように、チームメンバーのクラウドセキュリティに関するスキルをより向上させていきたいです。

ーー今後、プロダクトセキュリティチームにはどのような人に参加してほしいと考えていますか?

弊社のパーパスである「考え、伝える。より自由で豊かな世界のために。」や、ミッション「質の高い報道とサービスで 読者・顧客の判断を助け 世界で最も公正で信頼されるメディアになる」に深く共感し、セキュリティエンジニアとして質の高い報道やサービスの提供にご尽力いただける方にぜひジョインしていただきたいです。

▼日本経済新聞社のバリュー・パーパス・ミッション
www.nikkei.co.jp

チームが領域横断で、対象範囲も多岐に渡ることから、社内外問わず多様な方と柔軟にコミュニケーションを取りながら、日々のセキュリティ技術をキャッチアップし、コツコツ成果を積み上げていくことも重要になってきます。

プロダクト開発やセキュリティに関するハードスキルはあるに越したことはありませんが、足りない部分は後からなんとでもなります。実際、私自身はウェブ開発やサイバーセキュリティに関する知識はそれぞれで経験あったものの、クラウドセキュリティに関しては入社後にイチから学習しました。弊社で働くことを検討されている方には、ぜひ自身が今できることや、伸ばしていきたいことについて積極的にアピールしていただきたいです。

ーー今後、プロダクトセキュリティチームをどのような組織にしていきたいですか?

チームに数名の専任メンバーを配置したいものの、社内にプラス・セキュリティ人材を増やしていくためにも、メンバーが入れ替わっていく組織にしていきたいです。チームの役割を理解し、チームでノウハウを蓄積したプロダクトセキュリティチーム経験者に、社内の各プロダクト開発現場の要所要所で活躍してもらうことが大事なのではないかと思っています。

メンバー一人ひとりが「セキュリティが事業成長に貢献する」というマインドを持ち、自分自身のスキルアップや成長を感じながら様々な施策に取り組めるチームを目指して、これからも組織づくりを模索していきます。

(取材・文/寺山ひかり 撮影/豊田恵二郎)

プロダクトセキュリティの民主化をテーマに3社が語る!「NIKKEI Tech Talk」10/19(木)19:00〜開催!


藤田さんが出演する、日本経済新聞社 CDIO室主催のオンラインイベントNIKKEI Tech Talk「プロダクトセキュリティの民主化と協調」が、2023年10月19日(木)19:00〜開催されます!

日本経済新聞社におけるプロダクトセキュリティの取り組みのほか、様々な企業のプロダクトセキュリティをサポートしてきたセキュリティスタートアップ2社それぞれの取り組みについてもお話します。

事業会社とセキュリティベンダー、それぞれの立場から「プロダクトセキュリティの民主化」について語り合います。プロダクトセキュリティに興味のお持ちの方、プロダクトセキュリティの普及・啓発に関心のある方、セキュリティをより意識しながらエンジニアリングしたい方はぜひご参加ください!

<登壇者>
* 株式会社日本経済新聞社 CDIO室 セキュリティエンジニア 藤田尚宏さん
* Issue Hunt株式会社 取締役CTO Junyoung Choiさん
* 株式会社Flatt Security 取締役CTO 米内貴志

▼参加申し込みはこちらから!▼
nikkei.connpass.com

日本経済新聞社からのお知らせ

日本経済新聞社では、プロダクトセキュリティを支えるセキュリティエンジニアや日経電子版などのプロダクトの信頼性を担うSREエンジニア、プロダクト開発を担う各種エンジニアなど、様々なポジションでの積極採用を進めています。

この記事を読んで、日本経済新聞社で働くことに興味を持った方は、ぜひ以下のページよりご確認ください!

■エンジニア採用サイト
hack.nikkei.com

■テックブログ
hack.nikkei.com

■ セキュリティエンジニア の採用募集ページ
herp.careers