弁護士ドットコムに学ぶ電子契約サービス‎クラウドサインのセキュリティとは？

こんにちは、CyberSecurityTIMES編集部です。
【教えて！Webセキュリティ対策】第４弾は弁護士ドットコム株式会社（以下弁護士ドットコム）に取材をさせていただきました！
弁護士ドットコムは約14,000人の弁護士が登録している日本最大級の法律相談ポータルサイト「弁護士ドットコム」、税理士相談ポータルサイト「税理士ドットコム」、法律ニュースを配信する「弁護士ドットコムニュース」など、法律に関わるサービスの運営を行っています。2015年10月には契約締結をWeb上で完了させる画期的なクラウドサービス「クラウドサイン」をローンチし、導入企業数は既に10,000社を突破するなど、非常に勢いのある企業です。
今回は、そんな弁護士ドットコムで　執行役員CTO 兼 LegalTech Lab 所長を務める市橋 立様と、技術統括部 SRE※チーム シニアエンジニアの中村 哲也様に自社サービスや社内のWebセキュリティの取り組みについてお話を伺いました。
※SRE（Site Reliability Engineerring）…サイト信頼性エンジニアリング。Google発祥の考え方でプロダクトやサイトを安定運用するための活動やその活動に従事する人・チームのこと。

Q.まず始めに、市橋様と中村様の役割や業務内容をお聞かせください。
市橋：私はCTOという立場のもと全社の技術を統括しています。クラウドサインや弁護士ドットコムといった各プロダクトの担当者が決めた方向性をヒアリングして、開発組織体制や採用する技術を包括的に管理しています。
中村：私は技術統括部SREチームに所属していまして、社内の各プロダクトについて横断的に関わりながらサービスのパフォーマンスを向上させる作業を行なっています。とりわけ現在はクラウドサインの品質向上に注力しています。

Q.システム部門はどのような体制で運営されていますか？
市橋：大きく分けてプロダクト側のエンジニアと全てのプロダクトを横断的に見ている技術統括部があります。プロダクト側エンジニアは各プロダクトを担当する事業部ごとにチームに分かれていて、それぞれデザイナーとエンジニアが所属しています。技術統括部にはインフラや開発プロセスを見ているSREチームがあり、プロダクトを日々安定的に運用するために可用性などの非機能要件や開発プロセスの改善を行っています。そのほかR&Dを行なっているリーガルテックラボというチームもあります。
リーガルテックという言葉はあまり聞いたことがないと思いますが、例えば金融業界では金融テクノロジーの意味でフィンテック（Finance×Technology）という言葉が使われていますね。法律業界の場合はそれをリーガルテック（Legal×Technology）と呼んでいます。リーガルテックラボの中でAIやブロックチェーン周りのスマートコントラクトについて研究を行なっています。
スマートコントラクトというのは、「契約執行の自動化」を目的とした、言葉の通りコントラクト（契約）をスマートに行う技術です。簡単にいうと契約を自動で条件確認や履行できるものです。契約の不正対策の手間や、余計な人件費や時間をかけることなくスムーズに契約を執行するができるため、将来有望な技術の一つだと思います。

Q：クラウドサインの開発中にセキュリティで意識したことは何ですか？
中村：クラウドサインを開始する際にセキュリティをかなり意識して設計をしました。お客様の契約書を扱うというサービスの特性上、セキュリティには特に注意して取り組む必要がありましたね。
情報漏えいを避けるために社内の人間がアクセスできる情報をなるべく最小限にすることや、利用用途がない情報でも外に出ることが無いよう心がけました。
その他、外部から攻撃されないようにURLを推測されづらいものに設定することやセッション時間を短くするなどの工夫をしています。
また、既存のサービスはEC2上に独自構築したものも多かったのですが、クラウドサインはできる限りAWSのマネージドサービスを使っています。今までだと自分たちで色々な製品をインストールしながらチューニングしなければならなかったんですが、マネージドにすることで自分たちでチューニングしたり検証したりする手間や負荷を削ってセキュリティに注力できるようしています。

Q.サービスを運営する中でセキュリティに対して注意していることはどんなことですか？
中村：データのアクセス管理に一番気を付けています。外部からのアクセスと内部からのアクセス、それぞれに対して最低限のアクセスだけが許可されるような状態を保つことや、ログを取得して監視するなどの取り組みを行っています。また、クラウドサインはWeb上で契約書を作成しますが、作成中にエラーが起こって作成途中のデータが消えてしまったということが起こらないようにこまめにデータを保存するように設計しています。初めからデータを作成しなければならないというお客様にとって手間になる作業をできる限り少なくすることで、利便性が下がらないようにしています。
市橋：他にもデータベースへのアクセスも触れる人とそうで無い人の制限を細かく設定しています。例えば弁護士ドットコムですが、センシティブな相談内容や、ツイッター連携のトークンなどはエンジニアでもアクセスができないようにしています。アクセスログの分析も行うことがありますが、その際も分析に必要ないデータは出さないように識別しています。アクセス制限を細かく切り分けるのは結構大変なんですが、非常に重要な部分なので、スクリプトを書いて権限管理をしています。

Q.クラウドサインが2017年8月に導入企業数10,000社を突破しましたが、ユーザーのセキュリティに関する不安を払拭するための工夫はありますか？
市橋：契約書を扱うというサービスの特性上、当然にセキュリティ要件は厳しく見られます。大手企業様の場合はセキュリティチェックシートの回答を義務付けしていることもあるので、それらをクリアした上でご利用いただいています。
また、導入事例も重要だと考えていまして、金融系の企業様や大手の企業様の事例を掲載させていただいています。お客様の声を公開することでセキュリティ的にも法律的にも安心できるという認識を持っていただけるようにしています。ISMSも取得しているので、外部からの評価も含めて信用してもらうことで10,000社に導入していただけているんだと思います。

Q.御社のサービスに対する攻撃はどのようなものがあり、それらに対してどうやって対策を行っていますか？
中村：幸いにも、弊社のサービスでセキュリティインシデントが発生したことはありません。けれどもそれは攻撃が全くないからということではありません。クローリングやスクリプトアタックといった攻撃が実行されているのは確認しています。
インシデントが発生していないからといって安心できるものだとは思っていないので、定期的に脆弱性診断を行なって攻撃の隙を作らないようにしています。専門の企業に委託して外部監査を行ったり、自社でOwasp Zapを使用してWebアプリケーションの脆弱性診断もやっています。サーバに対して脆弱性がないか確認するAWSのサービス※もあるので、サーバにインストールしたパッケージに脆弱性がないかの確認も行なっています。このように定期的に診断を実施することで、より隙のないシステムを維持しています。
※Amazon Inspector…https://aws.amazon.com/jp/inspector/

Q.事業を続ける中で、セキュリティに対する意識の変化はありましたか？
市橋：私が弁護士ドットコムにジョインしたのは2014年1月なんですね、中村が2016年。弁護士ドットコム自体が普及し始めたのが2013年くらいなんですが、私が入ってきたときはまだエンジニアが４名ほどしかいませんでした。各々が独自で作業を行なっているという感じで、各自開発したものをそのままコミットするという状況でしたね。その状態だとレビューもある程度しか行なっていなかったですし、このままではいけないと思いました。そこでもっと組織的な開発をしようと提案したんです。話し合いを進める中でソースコードのレビューを行い意見をすり合わせるといったように協力してサービスを作り上げる仕組みにしていきました。
その後もXSSやSQLインジェクションといった「一般的な攻撃には気をつけよう」という対策はしていましたが、2015年にSREチームを立ち上げて、セキュリティだけでなくインフラや可用性について一元的に管理できるようにしました。SREチームを立ち上げたことによって先ほど挙げた脆弱性診断ですとか監査を行うといったセキュリティの取り組みもやりやすくなりました。
加えて一昨年のクラウドサインの開始から多くの企業様にご利用いただいていることもあり、より一層セキュリティ対策に力を入れていきたいなと思ったので色々考えている最中といった感じです。
弊社にはセキュリティエンジニアという専任はいないのですが、インフラを扱ってきた経験のある人が所属するSREチームなだけに、もとからセキュリティ意識が高い人が多いので、自然とセキュリティに向けた体制が整っていった気がしますね。

弊社は2014年に上場していますが、上場をきっかけにセキュリティ対策を念入りに行うようになったというよりかは、サービスが成長するペースに合わせてセキュリティ意識が高まっていると認識しています。
私はセキュリティというものは全ての企業が同じ対策をするというよりかは、各企業が何を守りたいかによって守り方が変わってくると思っているので、サービスや企業の成長に合わせてセキュリティ対策の方法やレベルも変わってくると考えています。

Q.セキュリティ関連情報のキャッチアップはどのように行なっていますか？
市橋：CVEとRSSで情報を定期的にチェックしています。その他 Ubuntu Security Noticeのようにオフィシャルで発信される情報は当然確認していますし、日本で有名なセキュリティパーソンの辻さんや徳丸さんのツイッターやブログは見ていますね。
キャッチアップした情報はSlackを使って周知して、メンバーに脆弱性情報に該当するシステムやパッケージが入っていないかの確認をしています。脆弱性パッチがあればそれを適用したかなども合わせて確認しますね。
エンジニア勉強会も定期的に開催しているので、そういった場でもセキュリティについて取り組んでいたりします。
その他、NISTのパスワードの記事※を原文で読んだり、海外のカンファレンスの記事を調べたりすることで情報のキャッチアップを行うこともあります。海外だとセキュリティホールに対してハッキングを行って脆弱性を確認するようなイベントも開催してることがあるので、そういうイベントのレポートはチェックしています。
※CVE…Common Vulnerabilities and Exposures…共通脆弱性識別子。米国政府の支援を受けた非営利団体のMITRE社が提供している脆弱性情報データベースのこと。
※NIST…米国立標準技術研究所。運用者が利用者にパスワードを定期的に変更するよう強いてはいけないという発表。

Q.2017年春に世界中で流行したランサムウェアがありましたが、このようなランサムウェアやマルウェアへの対策はどのように行なっていますか？
市橋：社用PCへはエンドポイントセキュリティ製品を導入しています。危険な脆弱性が発見されたり特定の標的型攻撃が流行した場合にはSlackで通知して対策するようにしています。
ランサムウェアへの対策は基本的にアンチウイルスソフトを最新版にするとかOSをアップデートするといった基本的なものからと思っているので、そこを念入りにといった感じでしょうか。
ただ、今まではアンチウイルスソフトだけ入れておけば大丈夫という雰囲気も多かったと思うんですが、それだけでは済まないところもあるので、会社としても世の中のトレンドに合わせて色々取り入れたいなと思っています。
また、毎月セキュリティ講義とテストを社員に向けて行なっていて、テストの点数が低かった場合は、個別にフォローしたりすることでセキュリティの意識レベルを上げています。その他の対策だと今後は標的型攻撃の訓練も行っていこうかと検討しています。

Q.DDoS攻撃に対して行っている対策はありますか？
市橋：DDoS攻撃の対策に関してはAWSが公開しているDDoS攻撃に対するベストプラクティス※に挙げられているものを行なっています。基本的なものはこれでだいたいカバーしていますね。
攻撃の対象となる部分を減らすとか、アクセス負荷に応じてサーバを増減させる取り組みを行なっています。幸い大規模なDDoS攻撃は受けたことがないので、これからも継続的に取り組んでいこうと考えています。
※AWS公開のDDoSに対するベストプラクティス…https://d0.awsstatic.com/International/ja_JP/Whitepapers/DDoS%20White%20Paper.pdf
※AWS公開のセキュリティベストプラクティス…https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf

Q.経営陣からセキュリティ対策に言及される機会はあるのでしょうか？
市橋：弊社の経営陣はセキュリティに対して高い意欲を持っています。創業者で代表取締役会長である元榮はもとより、新たに代表取締役社長に就任した内田は、カカクコムの取締役を経験していたこともありセキュリティに対して非常に意欲があります。
カカクコムにいるときにセキュリティに対して積極的に投資していた経験があり、それは弊社に来ても変わっていないですね。よく私のところに来て「このセキュリティ対策は大丈夫？」って確認されることもありますし、セキュリティは単にコスト増ではなく投資であるという理解があります。そういうことも踏まえて、経営陣もセキュリティ意識が高いと思いますね。

Q.セキュリティ面で企業の経営リスクとなり得るものは何でしょうか？
市橋：そうですね、企業としての信頼を失ってしまうことが最もリスクだと考えています。例えば私たちは弁護士ドットコムという弁護士専門家を紹介するサービスを提供している実績から法律的なところはしっかりしているという信頼感があります。その信頼感から弁護士ドットコムが運営しているクラウドサインなら安心だと捉えてもらって導入していただいている企業もあるわけです。
そこで大規模な情報漏えいをしてしまったら、その信頼を裏切ることになりますね。そういったものは経営リスクだと考えています。
あとは技術的なトレンドを抑えた上でサービスをどれだけ発展させられるかだと思います。リーガルテックのようなトレンドを取り込んだサービスを運営する上で技術のキャッチアップをどれだけできるかが重要です。技術的なキャッチアップを怠ると他のサービスに足元をすくわれることがあるので、そういった部分のキャッチアップは欠かせないと考えます。

Q.今後サービスをより良くしていくために取り組んでいきたいことはありますか？
市橋：いま弊社のサービスはAWSを使いながらS3やRDSといったマネージドサービスで運用しているので、今後のシステムのスケールはそちらに任せていきたいと考えています。クラウド化によって運用リソースに余裕が生まれた分で、サービスの使い勝手や機能をもっと向上させたいと思っています。
中村：サーバやアプリケーションの脆弱性対策や改ざんの検知は今後も継続してやっていく予定です。それに加えて、サービスのリクエストを分析して悪意のあるリクエストを防ぐようなアクセス制御も取り入れていくつもりです。
アプリケーションでは二段階認証も開発中です。より高セキュアなサービスを提供していきたいです。

ありがとうございました！
インタビューさせていただいているなかで印象的だったのは、サービス強化と隣合わせでお客様の安全を考えている市橋様と中村様の姿勢でした。
セキュリティはどうしても守りの施策でコスト増と捉えられることもあります。しかし、弁護士ドットコムに関してはむしろその守りを強みにしていることや、経営陣からセキュリティ対策に対する積極的な言及がサービス強化を後押ししていることもわかりました。
そうしてブラッシュアップされていったサービスの安心感やシステムの安定感が導入実績につながり、間接的には売上に貢献する、そんな良い循環ができていると感じました。
弁護士ドットコムがリリースするサービスなら安心！という信頼を勝ち取っているからこそ、「クラウドサイン」はリリースからわずか2年弱で10,000社を超える導入実績を築けたのではないでしょうか。
弁護士ドットコムのこれからに要注目です。

***

当サイト「CyberSecurityTIMES」を運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。

専門家によるサポートも充実しておりますので、お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。