サイボウズのセキュリティその後―Cy-SIRT活動報告など

外部の力もうまく活用しインシデントの予防に力を入れる

Cy-SIRT事務局の伊藤彰嗣氏

　そもそもサイボウズがセキュリティ対策を重要視するようになったのは、高木浩光氏から2006年頃に「サイボウズはいったい何をやってるのか」との指摘を受けたのがきっかけだった。そこから社外の専門家からの製品に関する問い合わせに対応するチーム「PSIRT（Product SIRT）」を設立。2011年には、製品だけでなくより広いセキュリティ問題に取り組むチームとしてCy-SIRT(さいさーと)を立ち上げ活動を行っている。

　Cy-SIRTは、Computer Security Incident Response Teamのサイボウズ版、コンピュータセキュリティに関わるインシデントに対処する組織だ。社外の組織、専門家とも協力しインシデントの発生予防、早期検知、解決を行い、被害発生を最小化する。組織は仮想組織として運営されており、コアメンバーはサイボウズ内に7名、うち3名は事務局担当で専任だ。

山本泰宇氏

　「セキュリティに関するインシデントの対処では事後対応が話題になりますが、事後対応ばかりやっているのは健全ではありません」と語るのは、Cy-SIRT事務局の伊藤彰嗣氏。Cy-SIRTでは、まずはインシデントの予防に注力している。そして製品やサービスの品質管理、何か事故が発生した際の事後対応の3つの業務がある。脆弱性報奨金制度もCy-SIRTの管轄であり、これは予防対策の1つと言えるだろう。

　報奨金制度は、6月30日までの4ヶ月間で43件の脆弱性が発見され報奨金の支払い予定額は2,798,000円となっている。脆弱性報告は内容の重大さによって支払われる報奨金額が変わる。これまでの報告で1回の金額の最高は51万円だ。

　多くの人から報告があるが、一部の特定の人から深刻な脆弱性を報告してもらっているのが現状だ。この報奨金制度で確保していた予算は年間500万円程。現在は、それが予測より速いペースで消化されている。とはいえ、予算がなくなったからとこの制度をやめるものではない。

　海外の組織ではこういった脆弱性報告に対する報奨金制度は数多く実施されているそうで、サイボウズにおいても「これまでの結果は費用対効果はかなり良いです」と言うのは、運用本部長の山本泰宇氏。専任の技術者を雇って検証することを考えても、非常に安上がりだと評価している。

　「人間なので必ず漏れ、ミスはあります。これまで明らかになっていなかったような、新しいインシデントもあります。インシデントが発生することを前提に備える必要あり、完璧はあり得ません」と山本氏。そのためには外部の力を積極的に活用するのが、サイボウズのセキュリティ対策というわけだ。

サイボウズの脆弱性報奨金制度

サイボウズでは重要な情報にアクセスできる人は極めて少ない

　もう1つ気になるのは、サイボウズにも蓄積されているであろう顧客情報などの機密性、重要性の高い情報をどう守っているか。これについてはもちろんCy-SIRTのような組織が積極的に活動し、脆弱性をつぶし情報の取り扱いや機器の管理等、全社で遵守するルールを作るといったさまざまな対策を講じている。

　その上で運用部門の対策としては権限の最小化をしてるとのこと。重要な情報にアクセスするための社内ネットワークからも隔離されたオペレーション専用環境も用意している。そういったものも利用しながら、重要情報にアクセスできる人を徹底的に減らすのだ。

　「すべてのアクティビティはログを取って監視しています。それが1つの担保にはなります」（山本氏）

　今話題のベネッセの情報流出。ベネッセにおいてもそれなりの対策がなされていたはずだ。サイボウズと違うのは、権限を最小化するのではなく権限ごとにアクセスをコントロールしようとしていたことだろう。ところが肝心の権限管理がうまくいかなかった。さらに、せっかくログを取っていてもそれが抑止効果にならなかった。

　ベネッセの件は事の詳細がまだ明らかになっていないので推測の域を出ない。一部報道で、顧客情報を扱うデータベースの統合が被害拡大の原因という見解も見られる。しかしこれは間違いだろう。システムが分離していればそのデータベースの範囲で被害は済んだかもしれない。とはいえ、複数のシステムにアクセスできる権限が与えられていれば、複数データベースからデータを抜き出す作業自体は簡単だ。データベースがばらばらだと結局はデータは重複持ちするだろうし、ログも複数になり監視も難しくなる。不正なアクセスを防止する仕組みも複雑化し穴もできやすい。むしろデータベースを統合しリスクを集約、そこを徹底的に管理するほうが安全性は高まるはずだ。

　今回は、結局はデータベースへのアクセス権限の管理が杜撰だったことが一番の問題だろう。管理を徹底している企業では、コンソールからのデータベースへのアクセスは、事前に申請したSQL文しか実行できないようにしているところもある。ベネッセが施すことができた対策は、まだまだたくさんあったのではと思うところだ。

　もう1つ気になるのは、こういう情報の流出対策は性善説では立ちゆかなくなったという指摘の報道だ。前述のようにきっちりとアクセス監視をしていれば、誰も不正なアクセスなどしないだろうと普通は考える。多くの場合は、ログ監視が不正に対するかなりの抑止になるのは間違いない。とはいえ、権限を持った人の家族なりを人質に取られ不正アクセスを強要されたらどうだろう。いくらセキュリティついての教育をし人物的にもまったく問題ないような人であっても、そういう状況下では不正を働いてしまうかもしれない。

　こういうことまで懸念し、誰がどういうアクセス権限を持っているかを外部に一切漏れないようにしている情報サービス企業もある。その企業ではさらに、管理者であってもデータの内容は参照できないようにするなど、権限に併せデータにどうアクセスできるかを詳細に分離するデータベースの仕組みも導入している。こういった機能の導入が、結果的には社員を犯罪などのリスクから守ることにもつながるのだ。