PSIRT構築支援
「PSIRTは大企業だけのものじゃない」──社員30人の会社が「セキュリティ統一のものさし」をつくるまで
株式会社コラボスタイル.
サイボウズでは、自社製品にぜい弱性が見つかるなどのセキュリティインシデントに対応するチーム「PSIRT(Product Security Incident Response Team)」を確立しています。その経験やノウハウをもとに、サイボウズ・チームワーク総研では、ほかの企業さまのPSIRT構築を支援するプログラムを提供しています。
支援プログラムの第1号になったのが、株式会社コラボスタイル。今回は、取締役プロダクトマネージャーの波多野謙介さんと開発担当の北瀬元太さんに、PSIRT構築までの道のりとその効果をお伺いしました。
さらに安心して選ばれるクラウドサービスになるために
──コラボスタイルさんでは、どのようなプロダクトを手がけているんですか?
波多野:ワークフローのクラウドサービス「コラボフロー」を開発しています。たとえば、書類に承認のハンコを押して、回覧する業務がありますよね。そうした業務フローをデジタル化し、出社しなくても書類を承認し、次の人へバトンを渡せるサービスです。
紙やExcelと同じデザインや感覚のまま、すばやくデジタルに移行できるので、誰でもかんたんにワークフローを設計・修正できるのが大きな特徴です。
サイボウズのkintoneやGaroon、Officeとの連携機能もあるので、より手軽さを求める企業や細かい設定で工夫をこらしたい企業が、連携して利用されることが多いですね。
──どうしてPSIRTが必要だったのですか?
北瀬:他社企業のデータを預かるうえで、セキュリティ対策をしっかりしておきたいという想いが、会社全体にありました。
たとえば、開発中に起こる細かい不具合の中には、セキュリティに関係するぜい弱性もあります。しかし、それをどういう優先度で修正するのか、どのタイミングで利用者にお知らせするのかなどは、担当者ごとの経験則で判断しており、会社として一貫したルールはありませんでした。
このようなセキュリティ対応に関する「統一のモノサシが欲しい」と悩んでいた時、製品の開発ライフサイクルを通じて、必要な安全管理、サポート、インシデント対応を行うチーム「PSIRT」の存在を知ったんです。
──トラブルが起こる前に、組織として対応方法をきちんと整備しておこう、と。
北瀬:そうですね。あと、セキュリティは製品を選んでもらうための対外的なアピールにもなるんです。
波多野:セキュリティって「費用」としてとらえられがちですが、製品を提供する立場から見ると重要な「投資」なんです。
コラボフローは、10人から数千人までさまざまな規模の企業にご利用いただいています。なかには、情報システム部門がない企業もありますし、あったとしてもクラウドサービスの導入や運用は現場任せ......という場合も多い。
特にセキュリティに詳しくない人にとっては、なにか「信用できる目印」がないと、サービスの良し悪しを判断しづらいもの。これまでもISO27001(※)の取得など、信用度を上げる努力はしてきましたが、その次のステップとしてPSIRTは意識していました。
※情報セキュリティに関する国際規格の1つ。情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示す
PSIRTを確実に構築するために採用した「サイボウズの支援プログラム」第1号
──数あるセキュリティ支援サービスの中で、なぜサイボウズのPSIRT構築支援プログラムを選ばれたのでしょうか?
波多野:コラボスタイルとサイボウズさんは顧客層が近いからですね。プロダクトの使い方や、期待することにも共通点が多い。だったら、セキュリティ面でもブレが少ないだろうし、サイボウズさんが培ってきた実務ノウハウもすごく役立つだろう、と。
北瀬:あとサイボウズさんは、ぜい弱性を見つけて、報告してくれた方に報奨金を支払う「脆弱性報奨金制度」も設けていますよね。バグ報告に対して報奨金を出す日本企業はまだまだ少ないので、かなり高いレベルでセキュリティに取り組んでいる印象もありました。
──コラボスタイルさんはサイボウズの支援プログラムを受けた会社・第1号です。どこで存在を知ったのですか?
波多野:一般社団法人コンピュータソフトウェア協会が運営する「Software ISAC」です。
ソフトウェアの開発手法に関するセキュリティを考えようという趣旨で、PSIRTの勉強会が開かれていました。その懇親会で、サイボウズの明尾洋一さんとお会いして。そこで、「今度、サイボウズでPSIRTのコンサルサービスを始める」と聞いたんです。
当時はPSIRTに少し関心がある程度だったのですが、お話を聞いているうちにやりたい気持ちが強くなって、「是非、第1号としてやりたい」と言ったんです。
──なぜ「第1号」として立候補したんですか?
波多野:早くやりたかったのはもちろんですが、やはり「第1号」にはインパクトがあるでしょう? セキュリティをしっかり取り組んでいるのをアピールできて、周りも「お!」と思ってくれるだろう、と。こうやって事例インタビューを受ける機会もできましたし(笑)。
──外部の力を借りないと、PSIRTを構築するのは難しいものなんですか?
波多野:勉強会に参加していると、「自分たちだけでやれそう」って思うんです。でも、それだとつい後回しにしがち。時間をかければできるけど、優先度が低くてなかなか手を付けられない......。
北瀬:セキュリティ対策としてPSIRT以外にも、開発プログラムの改修で防御力強化などの対策も必要ですし、「いつかやろう!」と思いながらも、目の前の仕事を優先して先延ばしになっていたでしょうね。
──でも、本来はもっと高い優先度でやるべきことだ、と。
波多野:そうですね。やっぱり、共通のルールとなる「型」ができていないと、いざインシデントが起こったときの体制が弱い。だから、絶対重要なことですよね。
サイボウズでの実例を参考に、企業の実態にあったPSIRTを構築
──具体的な導入時の話に入る前に、改めて明尾さんにサイボウズのPSIRT支援サービスについて説明をお願いできますか。
サイボウズ明尾:はい。基本は、マイクロソフトなど米国クラウドベンダーが中心となってまとめた「PSIRTサービスフレームワーク」に準拠し、PSIRTをつくる支援サービスです。
サイボウズでPSIRTを構築してきた事例をお伝えしつつ、ヒアリングを通して各企業に合ったPSIRTをいっしょにつくっていきます。
──具体的には、どういったことをするんですか?
サイボウズ明尾:PSIRTを構築するためには、開発者だけでなく、経営者や法務、営業、サポートといったステークホルダーの方たちがPSIRTの存在を理解し、さらに協力してもらう必要があります。まずはその体制づくりを支援していきます。
それから、製品にぜい弱性がある場合の見つけ方、発見したときの優先順位の付け方、そして、顧客への公開の手順などの具体的なフローも考えておきます。PSIRT構築に関する要点を1つずつ洗い出して、整理していくイメージですね。
──導入企業が主体的に取り組めるよう、あえてサイボウズは構築の支援に徹していた、と。コラボスタイルさんからは、このプロジェクトに誰が参加されたのでしょうか。
北瀬:開発現場から私を含めて2人に加え、経営陣から1人です。あと、知識を広めるために、社内のエンジニアにも、録画の許可をいただいて講義の様子を観てもらいました。
──お二方はもともとセキュリティに深く携わってきた経験、前提知識はあったんですか?
北瀬:実装時の知識はありましたが、体制や経営側はありませんでした。
波多野:わたしも製品を運用する上での体制づくりは、知らないことが多かったですね
終わったらPSIRTができていた! kintone+Zoom全5回のプログラム
──実際にどんなふうに構築を進めたか教えてください。
北瀬:2020年の7月から、だいたい月1回ぐらいのペースで講義をしていただきました。2時間を全5回ですね。
第1回のテーマは、体制や経営を含めてPSIRTの全体像を俯瞰すること。正直、聞き慣れない用語や覚えることが多く、疲れましたね(笑)。ただ、わからないことはしっかり時間をとって説明してもらえるので、その場で疑問解消ができました。
波多野:2回目以降は、講義でやり方を教えてもらって、実際に社内で手を動かす宿題が出ました。たとえば、「ステークホルダーを味方にする」「社内の評価体制を作る」などです。
それらの宿題をこなすうちに、徐々に実務的な体制ができたり、ぜい弱性の報告窓口がWeb上に配置されたり......。5回目が終わったときにはPSIRTの体制ができていたのは、めちゃくちゃよかったです。
北瀬:初回の講義が始まる前に、明尾さんのヒアリングを受けながら、自分たちのレベルをシートに書き出したんです。
毎回の講義後には、現時点の状態を成熟度評価シートで測定していくので、どれくらい成長したかが目に見えてわかります。特に最終日の評価シートでは、始まる前と比べてレベルがバーンと上がったことが数値でもよくわかりました。
──コロナ禍ということで、講義や評価はすべてオンラインで実施したんでしょうか?
波多野:そうですね。Zoomでの講義に加えて、kintoneのゲストスペースを使ったフォローもありましたメールより見やすく、宿題の中で確認したいことが出てきてもすぐに聞けたので、すごくよかったですね。
北瀬:先生と生徒みたいな関係ではなくて、伴走しながら後押ししてもらう感覚でしたよね。
難しい方針を考える上で役立った、サイボウズのインシデント事例
──PSIRTの構築を通して、当初の課題だった「統一のモノサシ」は得られましたか?
北瀬:はい。ぜい弱性が認識されたときに、どこに致命的な問題があるのか、深刻度や優先順位を指標にしたがって決められるようになりました。第三者の目から見ても、ぜい弱性について体系立てて評価できるのは大きいですね。
それから、ぜい弱性の解決のプロセスを対外的にどう見せるか。
──同じようなインシデントでも、タイミングや言い方1つで炎上して信用を落とすこともあれば、かえって評価されることもありますよね。
波多野:そうなんです。たとえフレームワークが準備できていても、いざという時にどう適応するのか、自分たちだけだと判断に困ります。その点、サイボウズさんから実際のインシデント事例をいくつか教えていただいたので、われわれの業態ではどう対応すべきなのかはつかみやすかったです。
サイボウズ明尾:ありがとうございます! サイボウズの経験をできるだけたくさんお伝えして、考える材料にしていただければと思っていました。
──おおむね順調に進みましたか? それとも苦労しながら?
北瀬:さほど苦労した覚えはないですね。順調だったと思います。
たとえば、一般的には経営層の説得が難しいと聞きますが、うちの場合は経営層がメンバーに入っていたこともあって、その点もスムーズに進みました。
サイボウズさんでは、社長の青野さんまでPSIRTに参加していると聞きました。経営にも大きくかかわることなので、代表まで巻き込んだ体制をつくるのはすごく大事だと思います。
開発現場のメンバーも参加していたので、開発プロセスの中にぜい弱性の強化をどう織り込んでいくのかといったことも、すんなり決まりましたね。サポートメンバーとの調整も、もともと開発チームと席が近く関係良好だったので進めやすかったです。
波多野:本当に大きなつまずきはなかったですね。むしろ、スムーズに行き過ぎたぐらいで(笑)。
信用して使えるサービスで、ワークスタイルの未来を切り拓きたい
──コラボスタイルさんが理想とするPSIRTの最終形が10だとしたら、いまどれくらい地点にいると感じますか?
波多野:どこをゴールにするか次第なので、上を見ればもっと低くなっちゃうんですけど......。1つの目標としていたPSIRTの「体制」をつくれたので、7ぐらいかなと思っています。
体制はできたものの、まだまだブラッシュアップは必要です。たとえば、問題が起こったときにパッと動くためには、訓練を何度もくり返す必要があります。
サイボウズ明尾:別途料金で訓練のサービスをご用意できますので......。
波多野:考えたいと思います(笑)。そこのノウハウも欲しいですから。
北瀬:講義を通して、PSIRT関連の組織やコミュニティの紹介もあったので、外への広がりも感じました。社外の人とも交流も深め、セキュリティの新しい情報や考え方をどんどん取り込んでいきたいですね。
──最後に、PSIRTが気になっている方へメッセージをお願いします。
北瀬:PSIRTは体制を敷くことなので、会社を横断的した調整に多くの時間がかかります。つまり、実際に問題が起きてから動こうとしてもすぐにはできません。だからこそ、非常時にさっとチームとして動けるように、平常時から準備しておくことをオススメします。
サイボウズ明尾:あと、「PSIRTって大きな会社しかできないよね」という風潮がありますが、コラボスタイルさんぐらいの規模でもできるって示せましたよね。
波多野:はい。コラボスタイルは開発チームが10人ぐらい、全体で30人前後の規模の会社です。このサイズでもPSIRTは構築できるし、必要なことだと感じます。
繰り返しになりますが、セキュリティはアピールもできる、重要な投資です。「しかたなく」ではなく、「もっと信頼してもらおう」「よりよい製品にしよう」など、ポジティブな目的があると経営陣の巻き込みもしやすいと思います。
コラボスタイルは「ワークスタイルの未来を切り拓く」を掲げています。ちょっと大げさな話ですが、PSIRTが浸透すれば、当社のプロダクトをさらに多くの人に信用して使ってもらえるようになる。ひいては、みんなのワークスタイルをよくしていくことにつながるんじゃないかと思うんですよね。
──ありがとうございました!
(企画:竹内義晴 取材・執筆:加藤学宏 編集:鬼頭佳代、野阪拓海/ノオト)