特集

【教えて!Webセキュリティ対策】第6弾 株式会社カカクコム

2017.12.13

特集

kakakucom

こんにちは、CyberSecurityTIMES編集部です。
各企業のサイバーセキュリティの取り組みを取材する【教えて!Webセキュリティ対策】。第6弾は株式会社カカクコム(以下カカクコム)に行ってまいりました!
言わずと知れた商品価格を比較できる購買支援サイト「価格.com」やレストラン検索・予約サイト「食べログ」といったWebサービスを提供しているカカクコムですが、今回はそういったWebサービスを安全に提供するうえでの取り組みについて、プラットフォーム技術本部 システムプラットフォーム部 部長 金本 宏司様、プラットフォーム技術本部 システムプラットフォーム部 社内システムチーム リーダー 栗山 嘉唯様、情報セキュリティ室 室長 葛西 將太郎様にお話を伺ってきました。

目次

主な業務内容

Q:まずは簡単に自己紹介をお願いします。まずは金本さんから。
金本:私はプラットフォーム技術本部にあるシステムプラットフォーム部の部長として、システム予算の管理とサービスインフラ・社内インフラの設計・構築・方針決定をしています。

Q:サービスに関連したインフラの保守運用は全て自社で管理されているんですか?
金本:弊社はSIerを使ってシステム構築することはほぼなく、機器選定・検証・設計構築・保守運用まで全て内製でやるようにしています。
WAFとは?導入した時のメリットについて

システム規模は2年くらい前は物理サーバが1,000台ほどありましたが、現在は700台ほどです。仮想サーバも含め1,500台ほどを管理しています。
仮想化技術は何年も前から取り組んでいまして、仮想化をやり始めたときはDBが仮想化のオーバヘッドで追いつかないこともありましたが、最近はハイパーバイザの性能も上がってオーバヘッドが少なくなったので、段階的に仮想化させています。仮想化と一緒にデータセンターの再設計も行い、去年70ラック※弱あったものが今50ラックくらいになっています。今後さらにその半分以下にできるんじゃないかと思っています。
※ラック…サーバやネットワークを設置する場所のこと。

Q:今、一番のミッションはどんなものがあるんですか?
金本:今まさに取り組んでいるものの中に、インフラ自社化によるコスト削減があります。
今まで外部のCDNを利用していましたが、昨年度、大手町にネットワークのハブ拠点を作ってAS(自律システム)を構築し、CDNトラフィックを一部自社配信に切り替えました。今年度中に全てのトラフィックを自社CDNに切り替える予定です。
そのほかIX(Internet Exchange point)に接続して回線コストも落とし、サーバ台数の削減と再設計でファシリティコストをどれだけ下げられるかに挑戦しています。まだ挑戦の途中ですが、固定費と固定資産の投資予算は過去5年を遡ってみても年々減少しています。

Q:栗山さんはどのようなお仕事をご担当されているのでしょうか。
栗山:金本がサービスインフラ並びに社内インフラを統括している下で、私は社内のクライアントやサーバ、ネットワークを管理しています。 この本社以外にも子会社を含め関西や中部にも拠点があり、そういった各拠点のネットワークやサーバなどのインフラ環境も見ています。 金本から、コストを下げつつ品質を上げてくれというオーダーに応えるためにシステムの見直しを実施しています。直近のシステムの見直しとして、社内サービスのoffice365への移行などを対応しています。
WAFとは?導入した時のメリットについて

Q:葛西さんはどのようなご担当をされていらっしゃいますか?
葛西:私は情報セキュリティ室室長として、金本の統括する公開サービス関連と栗山の社内システムといった全社のセキュリティを管理しています。具体的にはセキュリティ対策の企画・運用や社内規定の策定、セキュリティ教育、各部門からの相談対応やインシデント対応などを行っています。

Q:セキュリティ社内規定の運用において課題に感じていることはありますか?
葛西:決めたルールをどのように運用してもらうか、ですね。今まではルールを周知したものの、具体的な対応は現場任せという部分もありました。しかし現場の状況や技術を知らないと、非現実的なルールを決めてしまうようなことが起こりえます。実際に守れるルールにする、というのは当たり前のことですが難しいです。
少し話は変わりますが、ベンダーにセキュリティ運用を委託している場合に、その結果や状況を正しく把握出来ていないというケースがありました。そのため最近は、外部にお願いしている部分もきちんと結果を見ていく、必要なら運用も自社でやろうと取り組みを始めています。

例えばMSSベンダーにセキュリティ監視を委託しているケースは多いと思いますが、ベンダーはセキュリティ機器のログは見られますが、サーバは社内のエンジニアが運用しているので、弊社のシステムにどういったアプリケーションやライブラリが使われているのか、正確に把握するのは実際には難しい。その状況で攻撃があった場合に、影響の有無を正確に判断出来るのか。
例えばセキュリティアラートの危険度の判断について、社外のベンダーさんだと理由は開示してもらえないケースがあります。
WAFとは?導入した時のメリットについて

同じシグネチャに反応したアラートでも危険度の判定が高い場合と低い場合があって、「これはクリティカルではないと判断しました」と説明されても、その根拠は分からない。そこは相関分析の結果であったり各社のノウハウで開示出来ないという事は理解出来るのですが、委託する側としては、本当に大丈夫なのか社内にも説明しきれない。セキュリティ運用に自社でも取り組みはじめたのはそのような疑問からでした。

サービスの安全性を保つための取り組み

Q:安全にサービスを提供するために工夫していることを教えてください。
葛西:Webアプリケーションに対しては2パターンの脆弱性試験を行なっています。弊社では「定期」と「随時」と呼んでいますが、「定期」は年に1回サイト全体に対して行なっており、いわば健康診断のようなものです。
それ以外に、新しい機能の追加や新規サイト立ち上げの場合はリリース前に随時で脆弱性診断を実施しており、今ではほぼ一年中、脆弱性診断を行っています。

Q:診断を行うとやっぱり脆弱性は出てきますか?
葛西:完全にゼロということはありませんが、全体としてはここ数年では減少傾向にあります。

Q:開発のフェーズで脆弱性を出さないための取り組みはどんなことをされているんですか?
葛西:基本的な流れとしては、設計や開発の段階で作り込まないようにするという点と、作られてしまった脆弱性を見つける、という2つです。後者はツールによる診断と手動による診断を実施しています。XSSやインジェクション系などはほぼツールで見つけられるので、その段階で改修してもらっています。残るは手動診断でないと見つけるのが難しいもの、例えば「アクセス権限のチェック不備で不正な操作が出来てしまう」などです。
我々の課題としては、設計や開発の段階でそういった脆弱性を作りこんでしまう機会を減らしていく、ということです。
今期初めての試みですが、仕様検討や開発の段階で脆弱性を作り込まないためのトレーニングを企画したり、ユーザー認証に関するガイドラインを作成して新しくサービスを作るときにそれに沿って設計してもらう、という取り組みの準備をしています。

Q:作業の手戻りを減らすためになるべく前段で脆弱性を減らしていくということになると思うのですが、エンジニアの反応はいかがですか?
葛西:確かに考慮することも増えますが、脆弱性診断はサービスリリースの中ではかなり後ろの方の工程になります。もしそこで脆弱性が見つかって仕様そのものに影響を及ぼす内容だったとき、相当前まで戻って直す必要が出てきます。そうなると時間もリソースもロスが大きいです。
なので、診断で見つかる脆弱性を減らせれば、それだけスケジュールへの影響も減らせるということになるかと思います。

Q:ミドルウェアのアップデート情報の収集やその対応はどのようにやっていらっしゃるんですか?
金本:主に情報収集するのが葛西チームなんですが、多くのエンジニアがWeb媒体から情報を取っているので、その両方から情報が入ってきます。
食べログはサーバ台数が数百台という世界でして、この数だとよっぽどのインパクトでない場合は何もしない方が楽ですよね。開発言語やモジュール系やライブラリとか、改修コストもかかれば影響範囲もよくわからないものを弊社の環境では影響があるのかどうかジャッジすることが非常に難しいんです。葛西のようにインフラを理解した人が入ってくれたことで判断が円滑になりましたね。
葛西:金本が言ったように、脆弱性の情報が出たときに弊社の環境でどれだけ影響があるか、どれだけ緊急性が高いのかを判断することが非常に大事だと思っています。対応方法や緊急度についての判断が、場合によっては社内のエンジニアのリソース何十時間分に影響してきますから。
環境やアプリケーションによっても影響や対応方法が違うので大変ですが、それでも自社で運用しているため、把握と判断が比較的速く出来ているのではと思います。
金本:脆弱性の情報が出るのがだいたい金曜日の夕方とかなんですよ。アメリカ時間で情報が出るので仕方ないとは思うんですけど、向こうで水・木に出た情報が日本に来るのが木・金なので困りますね。
葛西:その点MicrosoftとOracleの定期アップデートは日本時間の水曜日に出してくれるのでありがたいなと思っています。
金本:バックエンドはもともと余裕があるからいいんですが、フロント系のライブラリとかはもう少し余裕を持ってほしいなと思いますね。
葛西:その点では、最近は徐々にですが事前予告をするところが出てきており、その場合は事前に影響範囲をある程度確認することが出来ています。利用状況をみて対応不要なのか、あるいは緩和策を検討するのか、といった検討が出来るのはだいぶ気が楽ですね。

エンドポイントセキュリティと社員のセキュリティ意識改革について

Q:話は変わって、サービスではなく社内のセキュリティについて話を伺っていきたいと思います。
千人規模の企業にもなると、毎日標的型攻撃が来ると聞いています。カカクコムでもそうなんでしょうか?

栗山:毎日ではありませんが、スパムメールや不正プログラムが埋め込まれたメールを検知することは当然ありますね。
セキュリティ規則を徹底しているおかげもあって大規模なインシデントは発生していませんが、マルウェアに感染した場合は、見つかった瞬間に影響の有無を判断して端末を新しいものに乗り換えています。
葛西:社内PCからのインターネットのアクセスログもチェックしていまして、比較的早く検知できるようになりました。以前はそういうチェックが出来ていなかったので、過去には数ヶ月経ってから不審な挙動に気がつくということもありました。また、時間が経ってしまうとログの調査も大変だったのですが、現在は早期に発見して影響を判断できるため、感染経路や感染が他に拡大していないことを調査した上で、問題のある端末の交換を依頼するだけで済むようになってきました。

Q:規約を作って周知することは簡単だけど運用させるのは難しいと伺いました。実際どのようにして社員の方々に運用してもらっているんでしょうか?
葛西:ひとつには教育により認識を高めてもらう、という点がありますが、そのためには従業員が実感を持てる身近な内容にする、ということがあります。
ニュースで大きく取り上げられたような有名な事例も使うのですが、それだけではなく自社内の具体的な事例を出すことによって、他人事ではないことを実感してもらっています。
もう一つは、やはりビジネスとセキュリティのバランスを取らなければいけないので、どちらか一方に偏らないようにというのを意識しています。例えば社外のサービスを業務利用したいという相談があった場合に、どういうリスクがあって、どういう対策をしないとこういうことが起きる可能性があります、というアセスメントを情報セキュリティ室で実施しています。ただ、どこまで対策をするかの必要性は扱う情報やサービスの重要度などによっても変わって来るので、事業部門にはリスクを認識してもらった上で、そこは濃淡を付けています。
金本:先ほどoffice365へ移行したと話しましたが、その目的は標的型メールの影響緩和でした。今まではローカルにファイルを置いて、ちょっと見ただけで感染というリスクがあったんですが、今はなるべくブラウザで完結してデータもローカルには落とさないようにして標的型攻撃のリスクを軽減しています。

これからのカカクコム、海外展開で更に飛躍

Q:今後のサービス展開や計画中のものはありますか?
金本:今後予定しているのは海外展開に関連するものですね。弊社の人間が海外に出張行く機会も多くなり、海外から弊社のリソースにアクセスさせてほしいという要望が増えています。セキュアにすればするほど通信は遅くなるので、その改善が課題の一つです。
葛西:どんなに正常に動いていても、当人にとっては遅い・フリーズしていると感じてしまうこともあります。

「Priceprice.com」というサービスをインドやタイ、フィリピン、インドネシアで提供しているのですが、これもレイテンシーの問題があります。このサービスは全て日本から配信しているんですが、Googleからスピードのペナルティを受けやすいそうなので、AWSなどの現地リージョンのクラウドサービスを使ってなるべく近いところから配信してみようという計画はあります。

Q:グローバルに向けてはクラウドサービスを使って、国内は国内のセンターでサービスを提供するということですね。セキュリティポリシーは今後どうする予定でしょうか。
金本:もっと安くなるのであればシンガポールとかにデータセンター作ってもいいとは思うんですが、国内から海外拠点に向けた回線は高いのでなかなかできないですよね。
また、グローバル展開するにあたってクラウドを使うためのセキュリティポリシーに関してはそんなに変わらないと思っています。今までオンプレでやってきましたが、価格面でそうしているだけなので同じセキュリティレベルのものはクラウドでも作れます。

Q:今後もっと強化していきたいセキュリティ対策はありますか?
栗山:エンドポイントのセキュリティをもっと強化して、社員の利便性を維持しつつ様々なロケーションで利用できるデバイスを提供したいと考えています。
現状、VPN環境を提供しているのですがネットワーク回線の状況などによっては、どうしても動作が遅いと感じてしまう人がいるので、そうならないための対策を考えているところです。
金本:VPN環境とは別に、ブラウザ完結するサービスに対してはセキュアブラウザを提供していて,ローカル端末に社内リソースを保存させずにアクセスさせる仕組みで、まかなっている状態です。通常の環境と比べてちょっとだけのオーバーヘッドなんですが、それでも動作が遅いと感じる人はいるので、悩ましい状況です。
エンドポイントのセキュリティを強化することで、国内と同じ環境で海外から社内リソースにアクセスしても遅延がないようにしたいと考えています。

今後海外事業も大きく展開していく予定ですが、国内のサービスも安全性、利便性を高めながらさらにユーザーが満足できるようなサービスを提供できるように頑張っていこうと思っています。
価格.com、食べログをはじめとした、人々の生活に密着しあらゆるニーズに応えるカカクコムのサービスをこれからも多くの方にご利用いただきたいです。

おわりに

葛西様が情報セキュリティ室に入るまで、現場でサービスを運用していた経験を生かし、サービスを運用するエンジニアの負担にならないように状況を判断しながらセキュリティ対策を行なっているというお話が興味深かったです。
情報セキュリティ室が現場を良く知ることで、何が最も良い選択なのかを決めることができるのでリソースの無駄もなく高い品質を維持できているのでしょう。
3名ともお客様のことを第一に考えてサービスを運用すると共に、社員の利便性を考えながらシステムや規定を作っていらっしゃいました。
できるだけ早い段階で脆弱性を調べることで作業の手間をなくす、内製化をすることで不透明な部分を減らし円滑に運用を行うと言った取り組みはとても合理的ですね。
カカクコムのサービスを支えるセキュアなシステム作りの裏側がよくわかりました。本日はありがとうございました。

WAFとは?導入した時のメリットについて

金本 宏司さん

株式会社カカクコム
システムプラットフォーム部 部長

2009年カカクコム入社。10年弱カカクコムが運営する全サービスのインフラ構築・運用を担当し、2年前より社内システムのマネジメントも兼務。
WAFとは?導入した時のメリットについて

葛西 將太郎さん

株式会社カカクコム
情報セキュリティ室 室長

2008年カカクコム入社。自社サービスのインフラ構築・運用担当を経て2016年より情報セキュリティ室で全社セキュリティの企画・運用やインシデント対応等を担当。
WAFとは?導入した時のメリットについて

栗山 嘉唯さん

株式会社カカクコム
システムプラットフォーム部 社内システムチーム リーダー

2015年カカクコム入社。従業員が利用する社内システムの企画・構築・運用を担当。