写真左よりNRIセキュアテクノロジーズ 福澤達洋 セブン&アイ・ホールディングス 鈴木恭敬氏
NRIセキュアテクノロジーズ 山川裕大 関戸亮介
コンビニエンスストアのセブン-イレブンやスーパーストアのイトーヨーカドーに加え、外食から金融サービスに至るまで多様な事業を展開しているセブン&アイグループは、近年、デジタル技術を生かした新たなサービスを、既存の事業と連携させながら展開しています。
その際に重視しているのがセキュリティです。過去に発生したインシデントの経験を踏まえ、グループセキュリティ統括室の元に「サービスセキュリティ推進Unit」を設けました。その組織では新たなサービスの企画・設計段階からセキュリティレビューを実施し、重大なインシデントを避けて安全・安心に利用できるサービスを実現するために、どのような対策や軽減策を講じるべきかなどを事業会社へアドバイスしています。また、リリース前には脆弱性診断を行い、不正利用につながる恐れのある問題を事前に解消するプロセスを整備しています。
NRIセキュアテクノロジーズ(以下、NRIセキュア)は2019年から、そんなセブン&アイグループの取り組みを支援してきました。すでに、『セブンマイルプログラム』の拡張など、数多くのプロジェクトに企画段階から参画し、安全なサービスの提供に向けともに推進しています。
多様な事業会社が展開する広範なサービスに対し、一定レベルのセキュリティを確保するには、さまざまな工夫や思いがありました。セブン&アイ・ホールディングス グループセキュリティ統括室 サービスセキュリティ推進Unit シニアオフィサー 鈴木恭敬氏と、NRIセキュア DevSecOps事業部の福澤達洋、山川裕大、そしてDXセキュリティ事業三部の関戸亮介がこの三年の歩みを振り返りました。
各プロジェクトの定例会に参加し、課題を共有しながら支援を実施
Q:サービスセキュリティ推進Unitではどのような役割を担っているのでしょうか。
鈴木:セキュリティインシデントを未然に防ぐための活動を主に行っています。新規サービスや機能をリリースする際に、まずセキュリティに関する社内の基準をベースとしてグループ共通のリスクシナリオに該当するものがないかを確認し、次に想定されるリスクベースでの評価を行い問題がないかを確認しています。その結果として、一定レベル以上の問題が発見された場合はリリースを保留して修正するよう求めています。また、新たなサービス企画の中には、不正に利益を得ることが可能なものもあります。そういったサービスについては、概要検討の段階でサービスリスクアセスメントを行い、不正利用の対策を意識した設計のアドバイスを行っています。
それらの活動を行うにあたって、「この仕様ではNGです」と問題点を指摘するだけではなく、「こういうところに気を付けて、こういった機能を入れた方がいいよね」という具合に、どうすれば問題点を解消・軽減できるのかを一緒に考えて作っていくことを意識しています。解決策を見出すのが難しい場合は、セキュリティ審査会という会議体で議論し、ビジネス側の責任者も含めて「リリース前に必ず修正すべきかどうか」「もし対応出来ない場合、そのリスクはビジネス側として許容できるものなのか」を確認するプロセスを作っています。
Q:NRIセキュアのセキュリティ支援はいつ、どのように始まったのでしょうか。
鈴木:私が当社に参画した2019年の10月ごろでした。当時、新たなサービスや機能をリリースする際は事前のセキュリティレビューを必須とする運用を開始したのですが、まだセキュリティ組織の体制が十分に整備されていない状況でした。私1人で一ヶ月約40件のプロジェクトに対してレビューを行っており、とても苦労をしていたためNRIセキュアに業務支援を要請しました。
福澤:NRIセキュア側もどのような体制で支援するのが最適なのか、試行錯誤しながら進めていきました。最初はメールでやり取りしていましたが、ご相談の背景や経緯などの細部までメールで連携いただくのは大変だったと思います。「いつ、事業会社様と定例会を行うか」も含め、いろいろ試した末、今のリモートでのご支援を中心とした形に落ち着いています。
Q:具体的にはどのような進め方なのでしょうか。
福澤:現在並行して4件ほどのプロジェクトを担当しているのですが、各開発プロジェクトの定例会にNRIセキュアが参加し、直接課題を吸い上げています。何か検討すべき項目があれば、その都度鈴木さんと相談しています。
関戸:2020年にはお客様の個人情報を預かるすべてのシステム構築に関して、セキュリティレビューに関するプロセスと、情報セキュリティ管理規定が発効しました。そこから1〜2年、プロセスを実際に回していくことで、浸透していったと思います。
Q:PDCAサイクルの一周目ですね。継続的に改善も加えているのでしょうか。
鈴木:まさに今業務の改善を行っています。以前は、サービスセキュリティ推進Unit内でレビューと診断を行う組織が分かれていました。しかし組織が別々の場合、レビューの際に整理した内容を、後の診断の段階で発見された指摘事項のリスク評価に反映しにくく、「実際のところ何が起きるのか」の判断を行うためにヒアリングや内容理解など重複した工数が発生していることがわかりました。そこで今は、レビューに携わったメンバーが診断もコントロールする形に改善しています。この結果、プロジェクト担当者がシステムの説明に要するコストの削減だけでなく、我々によるリスク評価もさらに精度の高いものにできています。
山川:とはいえ、ルールも何もない状態から整備することは困難です。プロセスを整え、システムごとに情報を蓄積していく仕組みができてきたからこそ、今のタイミングで改善ができたと思っていますし、これからも継続して改善していく必要があると思っています。
鈴木:新たなサービスについてはプロセスに沿ったレビューができているのですが、既存の重要なシステムやサービスに対しても、改めての評価や継続したチェックの強化をしていきたいと考えています。
山川:お客様が利用中のサービスには変更できない部分もあると思いますが、設計の観点からは、この先の新たなサービス提供や連携に向け、どこを変えていくべきかの洗い出しも必要だと思っています。
Q:今は、どのようなプロジェクトが進行中なのでしょうか。
鈴木:アジャイル開発の中でどのようにセキュリティを担保していくかに関して、いろいろお力添えを受けています。プロジェクトのスケジュール遅延を発生させないようスプリントごとの会議に参加してもらい、どのようなサービス設計をしているか理解していただいた上で、必要なセキュリティ要件をその場で提示していただいています。また、システム開発ベンダーが自ら利用できる検査ツール(IAST)を導入し、システムの開発段階で脆弱性を見つけ効率的な修正につながる仕組み作りも一緒に進めています。
開発現場と一緒に考える姿勢で、バランスの取れた解決策を模索
Q:さまざまな側面から支援を行っているわけですが、NRIセキュアから見て、これだけ広範かつ多くのサービスを展開しながら一定のセキュリティ品質を維持しようとするセブン&アイグループ様の取り組みをどのように見ていますか?
山川:プロジェクト数も多い中、これだけのレベルでセキュリティレビューやシフトレフトに取り組み、ベースラインを作ろうとしている企業は稀で、難易度が高く、非常に先進的なことだと思います。
福澤:事業規模が大きくなると、「もういいや」と諦めてリスクを受容してしまうことがあります。セブン&アイ・ホールディングス様には、そこを妥協せずにやり抜こうとする姿勢を感じています。
関戸:どのレビューに参加していても、セブン&アイグループ様は「個人情報の取り扱い」を大切にしていると感じています。一般の利用者には見えない部分も含め、データの暗号化をはじめ、個人情報を専用区画でのみ取り扱う運用など、個人情報を慎重に扱う環境が整っていることに感銘を受けています。また、費用対効果も含めた適切な解決策を、事業会社とホールディングスの双方で探り合い、主体的に取り組んでいるのも素晴らしいところだと思います。
福澤:セキュリティにかけるコストについて妥協はしていませんよね。セキュリティの担保が必要なところに、しっかりとコストをかけていただいていると思います。
鈴木:お客様の個人情報を取り扱うシステムに関するレビューの基準や診断は、過去のインシデントの影響もあってかなり厳しくしています。現在、重要なシステムについては安全に利用できるフェーズにまで来たと思っています。今後は一定のセキュリティを維持しつつ、新しい技術を活用しお客様や業務の利便性を高めていけるよう、セキュリティ組織から関連サービスに提案出来るよう検討を進めているところです。
Q:セキュリティとコスト、利便性や迅速さなど、サービスにはさまざまな要素が求められます。そのバランスをいかに見出すかは、永遠の課題かもしれません。少なくとも「セキュリティ原理主義」に陥って、「あれもダメ、これもダメ」と否定だけするのは現実的ではないですよね。
福澤:レビューの際にはまさにそこを意識し、我々は開発の敵ではないという意識で支援に当たっています。何でもかんでも否定していては、開発現場は「そんなことを言われても、じゃあどうすればいいんだ」と困ってしまうでしょう。一昔前はそういったスタンスのセキュリティベンダーも多かったようですが、我々はそうではなく、「これは危険ですが、ならば代替策としてこうすればいいんじゃないでしょうか」というアイデアを、開発の方々と一緒に考える支援をしていきたいと考えています。
長いご支援の中では、ビジネス的にはどうしても必要な機能だけれどセキュリティの観点からそのままリリースすることを推奨できないものもありました。「では、こういった対策を行ってはいかがでしょうか」と解決策を探り、ご支援したケースもいくつかあります。
山川:また、ルールを守ることだけ考えていくと、コストがかさんでしまうこともあるので、リスクの重要度や緊急度と勘案した上で判断しています。
鈴木:そうですね。外部の力も借りてレビューしていく中でも、着任時に方針の理解をお願いしています。
福澤:杓子定規にならないようにすることが大切ですね。
Q:一方で、セキュアな開発プロセスを導入することでの効果は何かありましたか。
福澤:大きなセキュリティ事故が起きていないという事実は、一つの目に見える成果ではないかと思います。
鈴木:幾つかのスマホアプリにおいて、開発プロセスのかなり早いタイミングでサービス仕様としてのセキュリティ要件を提示し、その要件を満たしていただいたことで追加開発や、改修時にセキュリティ要件を追加する必要がなく、追加の費用もかからないといった効果が出ているものがあります。また、セキュア開発ガイドラインの提供やIAST活用により開発や単体テスト工程での課題の低減や発見を行うことで、早い段階でセキュリティ対策を実施すること(シフトレフト)ができています。
Q:過去、セキュリティ担当者は嫌われ者になりがちでしたが、開発の方々と円滑にプロジェクトを進めていくコツなどはありますか?
福澤:とにかく一緒に考える姿勢だと思います。「それはダメ」だけ言っていると、相談者は「何も考えてくれないじゃないか。それならもう相談したくないな」と感じると思います。開発現場の一員として一緒に考えることで、相談者も「何か役立つものが引き出せるな」と意識してもらえると思います。プロジェクトを引き続き私が支援するとお伝えしたとき「福澤さんが担当してくれて良かったです」と言っていただけたことがあり、こちらの思いが伝わり、本当にうれしかったですね。
鈴木:社員同士の場合は、何かあったときにだけ話すのではなく、雑談でもいいので普段からコミュニケーションできる人間関係を築いておくことが重要だと思います。信頼関係が築けていれば、困った時の相談だけでなく、業務でセキュリティの課題に気付いたことがあれば共有してもらえると考えています。そういった相談や共有内容からインシデントを未然に防げることは多くあると考えています。
セキュリティを他人事ではなく自分事としてとらえる意識の醸成も
Q:今後、サービスをさらに拡大していくとなると、専門家ではなくても、セキュリティに関する知識を一通り身につけ、対話ができる人材がますます必要になりますね。セブン&アイグループ様では、各事業会社で「セキュリティチャンピオン」を育成していく計画と伺いました。今後どのような取り組みを考えていますか。または既に行っている取り組みを通して、何か変化を感じていますか。
山川:支援する我々の立場からすると、開発側にセキュリティの担当者を配置し、我々と会話しながら問題意識のレベルを上げていただくことが大事だと考えています。
福澤:逆にそういう明確な責任者がいないと、「サービスセキュリティ推進Unitが見てくれるからいいや」となりかねません。まずは意識を変え、スキルはレビューを通して後から付いてくるという感じでしょうか。
関戸:すでに事業会社側も取り組みを始められていますね。この間は、IDプロバイダー(IdP)や認証認可ガイドラインに関する勉強会を実施されていました。
福澤:三年かけてご支援してきましたが、やはり、現場の意識に変化を感じます。当初は「全体を確認してほしい」という雰囲気がありましたが、最近では「ここが特に心配なので、しっかり見てもらえませんか」と提示していただくプロジェクトもあるほどです。取り組みを通して自然と、セキュリティは依頼されて行う仕事ではなく、自分たちの責任でやらなければいけない事柄であるという意識が、全社に浸透してきているように思います。
鈴木:システムの重要度やリスクの大きさを踏まえて、我々がセキュリティレビュー等を実施していますが、各社固有のシステムには我々がチェック出来ていないシステムがあります。そういったシステムについては、中長期的に事業会社の方たちが各社で固有のリスクを想定し、自らチェックできるようにしていけたらと考えております。
Q:そのための人事制度なども用意されるのでしょうか。
鈴木:これまでは小売業がベースの人事制度となっていたため、エンジニアの評価についても課題がある状況でした。最近人事制度の改定が行われ、エンジニアについてもしっかりと評価し、役割や責任に応じた給与を支給する体系に改善しています。これからはエンジニアの方々も働きがいが得られるようになっていくと期待しています。
Q:では最後に、皆さんの取り組みについて、伝えたいことがあればお願いします。
福澤:セキュリティを決して他人事ではなく、システムに関わるすべての人にとっての自分事だと捉えてほしいと思っています。誰かがやってくれるものではなく自分がやらなければ、という責任感を持って対策に臨むことが大事であり、それが我々の支援のスピリットにもつながっています。
山川:今やセブン&アイグループ様は全国のインフラになっているといってもいいでしょう。そうしたサービスの安全性を支えるお手伝いをしつつ、お客様が不便にならないようバランスを取って支援していきたいと思います。
関戸:セブン&アイグループ様は、いろいろな場面で毎日のように、お客様と多くの接点を持つサービスを展開されています。接客などのお客様からも目に見える領域に力を入れるだけでなく、なかなか見えない領域である情報システムで取り扱う個人情報についても、適切に安全に管理されています。NRIセキュアとしては、今後も一丸となってセブン&アイグループ様のセキュリティを支援していきたいと考えています。
鈴木:我々は様々なDX施策推進していくにあたってお客さまの個人情報ならびにサービスのセキュリティをしっかり守っていく取り組みを続けていきます。こうした取り組みを通じて、当社グループ全体でのセキュリティ意識を向上させ、より安全・安心なサービスを提供していきたいと考えています。
