「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee@ITセキュリティセミナー2018.6-7

@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、freeeの講演「脆弱性なおさないと攻撃しちゃうぞ〜CISOからの挑戦状〜」の内容をお伝えする。

» 2018年09月19日 11時40分 公開
[高橋睦美@IT]
freee CIO兼CISO 土佐鉄平氏

 @ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、freeeの講演「脆弱性なおさないと攻撃しちゃうぞ〜CISOからの挑戦状〜」の内容をお伝えする。

 中堅・中小企業のバックオフィス業務支援をミッションに掲げ、クラウドベースの会計サービスを展開しているfreee。3800を超える金融機関と連携し、うち10の金融機関とはAPI経由での処理を実現している他、スマートフォンのカメラを用いた経費精算機能を追加したり、あるいはAI/機械学習を月次監査作業の支援に用いたりと、次々に新たなサービスを展開している。

 企業にとって重要な経理情報を扱う以上、一連のサービスの基盤にはセキュリティが必須だ。freee CIO(最高情報責任者)兼CISO(最高情報セキュリティ責任者)の土佐鉄平氏によると、同社では「セキュリティをロールプレイングゲームの『勇者』に見立てて説明している」という。全ての基本となる従業員のセキュリティリテラシーは「足腰」、攻撃を受けても倒れないインシデント対応力は「体幹」で、さまざまな対策は「防具」だ。「防具が重過ぎて、勇者の動きを妨げてはいけない」(土佐氏)

 さらに、アプリケーションの脆弱(ぜいじゃく)性診断やセキュア開発といった部分は「腕力」、内部統制がしっかりしていることを対外的にアピールする認証の取得が「武器」に当たる。その上で、「目、耳」で常に情報収集を行い、ノウハウを「頭」に蓄積し、常にセキュリティを高めていく「心」を持つ――そんな要素を兼ね備えた勇者こそ、セキュリティのあるべき姿だと捉え、向上に取り組んでいる。

 勇者を目指す取り組みの一環として、同社ではユニークなセキュリティ研修「Hardening Program」も新人向けに実施した。あえてさまざまな脆弱性を持たせたサービスを一定の時間内に修正、強化し、エンジニア陣が仕掛ける攻撃から守りながら継続させるというものだ。座学ではなかなかピンと来ない実践的なセキュアな開発力を身に付けてもらうだけではなく、「実際にぼこぼこにされることによって、セキュリティ意識の醸成に効果があった」(土佐氏)と言い、今後も定期的に実施していく計画だ。

 最後に土佐氏は「セキュリティというと、いろいろなルールが課されるため、嫌がる人も多い。しかし、セキュリティ自体が目的ではなく、その先にある『カスタマートラスト』があり、その先に『カスタマーサクセス』があるという文脈で啓蒙(けいもう)に取り組んでいる。そこに至る道を信頼の石で敷き詰めていくことが大切だ。今後もfreeeらしい方法でセキュリティ意識の醸成に取り組んでいきたい」と述べ講演を終えた。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。