会計ソフト freee (フリー) に学ぶ社員のセキュリティ知識の定着化とは？

こんにちは、CyberSecurityTIMES編集部です。
【教えて！Webセキュリティ対策】第7弾はfreee株式会社（以下freee）です。
freeeは「スモールビジネスに携わるすべての人が創造的な活動にフォーカスできるよう」というミッションのもと、クラウド会計ソフト「会計フリー」、クラウド人事労務ソフト「人事労務フリー」をはじめとしたクラウド型バックオフィス向けプロダクトを提供しています。
今回はCISOを務める土佐 鉄平様にお話を伺いました。

Q:土佐様の主な業務内容を教えてください。
A:はい、私は弊社のセキュリティ全般の責任者をしておりまして、社内システムとプロダクトのセキュリティ両面を見ています。
プロダクト側のセキュリティに関してはユーザーセキュリティチームという開発チームがありまして、そこのマネージャーも担っています。
このチームは数人のエンジニアで構成されていて、認証や認可の基盤を開発しています。
そのほかCSIRTがありまして、全体で10名ほどが参加しています。私以外はみんな他の業務と兼務してまして、教育・啓発活動・セキュリティの事前対策など万が一何か起きてしまったときの対応を率先して行うメンバーとしてアサインしています。
情シス専門のチームもCSIRTへ参加してもらうことで、相互連携をしながら情シス面のセキュリティ対策をやっています。
弊社のエンジニアはインフラチームと、プロダクトごとに設けた開発チームで成り立っており、日々新しい機能やサービスを提供することに努めています。

Q:ユーザーが安心して利用できるサービス提供のために行なっているインフラセキュリティ対策はどのようなものがありますか？
A:基本的なファイヤーウォールの設定や権限制御、WAFとIPSも導入しているので、一般的なものは一通り対策できていると思います。
弊社はAWSでインフラ構築をしているので、オートスケールにも対応していますし、比較的安価に簡単に導入できる製品も多く、サービス選定も柔軟に行えています。

Q:サービスを提供するにあたって一番のリスクと考えられるものはどんなものがあるのでしょうか？
A:やはりユーザー情報の漏えいだと考えています。弊社で管理している情報は会計・人事労務という特性上、秘匿性の高いものばかりですから、リスク別に認証を取り入れて安全性を高めています。
リスク別というのは情報の重要性に応じたセキュリティレベルの定義のことで、例えばSレベルだと財務情報や給与情報、マイナンバーが対象となっています。
これら情報にアクセスできる権限を振り分けているので、特別な管理者のみしか扱うことができないようになっています。

Q:インフラの脆弱性対策はどのように行なっていますか？
A:第一にIPSを導入しているので、脆弱性を狙った侵入を検知するようにしています。
他には脆弱性情報を収集して、セキュリティパッチを当てる必要があるものがないか確認しています。
情報の収集方法としては主にJPCERTの警戒情報とツイッターですね。
脆弱性情報が発表された場合は、各担当者も情報を追っているので何かあったときは自発的に判断して早期対応できるようにしています。セキュリティに対して非常に敏感なので、各自が責任を持って取り組んでくれています。

Q:サービスを運営する中で、どのような攻撃を受けたことがありますか？
A:過去にはリスト型攻撃が集中することがありました。
最初は特定のIPアドレスを手動でブロックしているだけだったんですが、だんだんと追いつかなくなってきたので、自動的にブロックする仕組みを導入することで対処しました。
その後、強力なリスクベース認証の機能を導入するなど、対策をさらに強化したので、より安全な環境を構築することができています。

Q:毎月10件前後新しい機能が追加されているようですが、新機能実装の際に心がけていることはどんなことでしょうか？
A:どのシステムにも間違ってはいけないポイントがありますので、そこは念入りに確認しながら作業をしています。リリース後は年に１回の脆弱性診断を実施し、必要であればピンポイントでの診断も行います。そのほか静的なソースコードも日時で脆弱性診断することで常に安全な状態を保つようにしています。最近導入し始めたものとして、ツールを使用してブラックボックス的に診断※を行うというものもあります。なるべく網羅的に定常的な診断をするためにも、それぞれ異なるアプローチで取り組んでいます。

freee株式会社 CISO 土佐 鉄平様
Q:企業同士の協業で新しい機能を開発されることもあると思いますが、その際のセキュリティ対策はどのようにして行なっていらっしゃいますか？
A:金融機関と連携の場合、セキュリティチェックリストに応えることを要求されますので、ひとつひとつその要求をこなしていくという感じです。
そして、さらに弊社側で必要と判断した対策を追加していくことでセキュリティレベルを向上しています。
リリース前にも厳重に確認を行なっていますね。スポットで診断事業者に依頼して第三者チェックをしてもらうこともあります。提携企業との複雑なシステム間連携もあるので、リリースのスピードと調整しながら作業を進めています。

Q:社員のセキュリティ教育はどのように行われているのでしょうか？
A:弊社は正社員以外にもアルバイトや業務委託の人が社内で働いています。そういった方も含めて、入社初日にセキュリティ研修を必ず行っています。毎月人が増えるような状態ですが、教育は欠かしません。
チームごとの特定に合わせたセキュリティ研修も行なっており、エンジニアはエンジニア用の研修内容になっています。例えば過去にヒヤリハットがあった実装を紹介することで、より実践的な内容でセキュリティの大切さを伝えるようにしています。
さらに、エンジニア向けのセキュリティ教育を施すためのメンバーを選出していて、そのメンバーを中心にセキュアプログラミング・コーディング技術を広げています。

技術的な内容ではなくとも、全員が知るべき警戒情報はメールで全体周知することで認知してもらっています。
セキュリティ理解度の向上のために「セキュリティチャレンジ」というテストのようなものも月に１回実施しています。点数をつけるのが目的ではないので、テストという言い方はせずに、「セキュリティチャレンジ」という名前にしていて、基本的には、問題文をきちんと読めば満点を取れるものになっています。しかし、実施側が当たり前と思い込んでいる内容でも、従業員によってはそうではないことがあるので、それを把握して繰り返し何度も実施することで、定着させていく必要があると考えています。

そのほか、社内の面白い取り組みの一つに、パソコンのスクリーンロックに関する工夫があります。パソコンから離れるときは必ずスクリーンロックをしてくださいね、ということはどの企業でも行われていると思うんですが、弊社の場合は万が一スクリーンロックをしていない端末を見つけた場合、その端末を勝手に操作してSlackの雑談チャンネルを立ち上げて好き勝手に投稿していいことにしています。
トップダウンでこれを徹底してくださいと指示をしても定着させるのはなかなか難しいですよね。取り組みやすい気軽さのような要素を入れることで苦手意識をなくし、お互いが声をかけ合ったり気をつけられるような空気を作るようにしています。
書き込むことは強制じゃないので、声をかけてあげるだけでも意識は変わると思っています。

Q:CSIRTは社員にどの程度定着していますか？
A:社員が使用するSlackにCSIRTチャンネルというもの設置しています。月に６０件ほど相談があるので社員からは頼りにされていると感じています。
例えば、ブラウザのエクステンション入れても大丈夫ですか？とか、お客様からこういった問い合わせを受けたのだけどどうしたらいいのかといったものですね。怪しいメールがあった場合その相談を受けることもあります。
先日社員からこれは標的型メールではないだろうかという相談があり、調査したところ標的型メールだったので迅速に処理をして対応するということがありました。
社内にいる人たちがCSIRTを認知していてくれることで、自分たちだけでは気がつかない小さなセキュリティインシデントも知ることができています。

Q:セキュリティ教育をする上で難しいと感じるものはどんなものでしょうか？
A:一工夫考えないと浸透しないことでしょうか。先ほどのパソコンのスクリーンロックのこともそうですが、ルールや取り組みを作るだけでいいというわけではありません。ただ従うのではなく、みんなが納得できるようなものが必要です。やる意味を見出せるようにする必要もあるので、そういった基盤を作ることが難しいと感じています。
最近、啓発活動として「カスタマートラスト運動」というものを始めました。セキュリティをするだけが目的ではないと気がついてもらうためです。セキュリティ対策の果てにはお客様の信頼を得る目的があるので、カスタマートラストを啓発していきましょうと取り組んでいます。
内容としてはお客様の信頼を得るために頑張っている人にスポットライトを当てていく活動です。サポート面でのお客様への接し方や、プロダクトセキュリティの品質だとか、お客様のために色々努力している人たちをもっと評価してサービスの品質向上に繋がるようにしています。

Q：土佐様の考えるfreeeの今後はどのようなものでしょうか？
A:今直近で品質を向上させたいと思っているサービスに「人事労務 freee」があります。「クラウド会計ソフト freee」の後にリリースされたサービスでして、最近大きめの事務所さんで使われているという事例が増えてきたためさらにセキュリティ機能を向上させていきたいと考えています。会計フリーで先行して導入したセキュリティ機能をこちらでも実装できるように開発を進めるところです。

最近は大手金融機関との連携も増えてきて、求められる責任が非常に増えてきています。どうやってよりセキュリティを担保してサービスを成長させていくかは課題であり、非常にエキサイティングなものだと感じますね。

より多くの人にfreeeなら何を任せても安心だね！と言っていただけるようなプロダクトを提供できるように頑張っていきます。

ぐんぐんサービスを拡大しているfreeeですが、その裏のセキュリティ対策がよくわかりました。
「仕組みや決まりは作ったけれど定着しない」これはどこの企業でも課題に挙がると思いますが、CSIRTがしっかりと機能していることからも、freeeのユニークな ”一工夫” はとても効果的であることがわかります。
セキュリティ対策はリスクヘッジということだけを意識しがちですが、その先にはユーザーがいることを忘れない。こうした本質を各メンバーが理解しているからこそ、freeeと提携する企業やサービスを使うユーザーは大きな安心を感じることができるのではないでしょうか。本日はありがとうございました。

***

当サイト「CyberSecurityTIMES」を運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。

専門家によるサポートも充実しておりますので、お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。