ヤフーにおけるセキュリティの取り組み

■ 情報セキュリティとの関わり

　ヤフー株式会社 システム統括本部 技術支援本部 開発促進部 セキュリティプラットフォーム/黒帯 セキュリティの戸田　薫です。
　私は、リーダーとしてセキュリティの技術部門をマネジメントしながら、サービスのセキュリティや妨害対策を検討し、システムの設計や開発をしています。毎週、チームメンバーと面談を通じて、今抱えている課題の解決策を一緒に考えています。サービス開発のセキュリティ面の課題を一緒に検討すること、セキュリティ技術に関わる教育、問題発生時のインシデントハンドリングなども行っています。今、関わっている重要な案件の1つは、オフィスネットワークやサービスネットワークの両方を含めた今後のセキュリティ対策を推進していくことです。
 
　「黒帯ってなに？」って思われる人のために簡単に説明をしておくと、ヤフーには、社内の認定制度に指定技術領域における高い専門性を発揮している人に与える「黒帯」と呼ばれるタイトルがあり、私は、「セキュリティ」の「黒帯」ということになっています。
 
　私のセキュリティ技術チームが行っていることは、いろいろありますが、いくつか具体例を以下に挙げます。
 

• 　サービス・システム開発における相談役
• 　全社的なセキュリティ対策の提案
• 　セキュリティ対策プラットフォームの提供
• 　インシデントレスポンス
• 　教育
• 　セキュリティスキャン
• 　脆弱性情報の可視化

 
　外から見えないところのシステム開発が多いのですが、私のチームで近年開発したシステムの中には、ログインサービスで使用しているニ要素認証のシステムとスマホ用のOTPアプリがあります。
 

 
http://id.yahoo.co.jp/security/otp.html
※上記リンクをクリックすると別サイトに移動します。
 
　今回は、簡単ではございますが、不正アクセスが発生した際に行った対策について紹介させていただきます。
 

■ インシデントレスポンス

　2013年にユーザーデータベースへ外部からの不正アクセスが発生しました。
　1度目の不正アクセスは、基本的に最高セキュリティ責任者(CSO)の直下の部隊が対応にあたっていました。
　2度目の不正アクセスを受け、私と私のチームも対策に乗り出すことになりました。
　外部とのコミュニケーションをするグループと技術対策を行うグループにわけて対応を実施しました。
 
　不正アクセスを受けたサーバーの応急処置の方法を提案し、対応可能なスタッフをすぐに集め、対応に当たりました。
　認証情報や信用情報など特に守らなければならない情報を扱っているサービスの現状を整理し、1つ1つレビューを行い、見直しも行いました。
　仕掛けられていたバックドアの解析は、テクニカルディレクターや関係者を集めて、全員で同じターミナルを見ながら、カーネルトレースやトラフィックを見て、挙動をみるといったこともやりました。
 
　セキュリティインシデントの全社的な技術対策の検討と実施を行うことが決まり、 テクニカルディレクターや一部の黒帯を集め、すぐに実行可能な短期の全社的なセキュリティ対策を検討しました。
　短期施策は、中長期の対策によっては無駄になっても構わない、という前提で作りました。
　監視、ロギング、認証、アカウント、アクセス制御などを一気に見直しました。
　私のチームでは、それまでやっていた開発などをすべてストップし、全エンジニアが監視やロギングのプラグインや認証強化のためのシステムの開発を担当しました。認証強化の一環で、サーバーへのログインには、ニ要素認証を追加しました。
　全社のエンジニアは、セキュリティ短期対策を優先する指示が出され、サービス開発を止めてでもセキュリティ対策を優先して実施しました。
　監視強化の影響で、アラートが多発によりメールシステムの負荷が高くなる、システムによっては監視のプラグインの影響で負荷が高くなる、オペレーション部隊の確認作業が増えるなど、いくつもの問題が発生しました。
 
　短期対策の開発を終えたあと、自チームが運営しているシステムへの適用を進めながら、中期対策の１つのユーザーデータそのものの保護のためのシステム開発に着手しました。いくつもの関連部門があり、情報を整理しつつ、設計や開発を進めながら、設備の準備をしました。
 
　不正アクセスを受けて、対象となった端末やサーバーのフォレンジックを専門の企業に調査を依頼しました。
　調査は、ネットワークのフローログやファイアーウォールのログがあるほうがより効果的に調査ができます。
　アクセスが多い環境だとすべてのログを取得することが難しかったりするため、多くの企業で課題になるのではないでしょうか。
 
　短期対策がおおむね終わりを迎えたころに役員やテクニカルディレクター、セキュリティの主要なメンバーを集めて、合宿を行い、不正アクセスが発生した原因や現状の整理、これからのことを検討しました。
　最高経営責任者(CEO)の宮坂は、2012年に「ユーザーファーストでサービスのことを考え、サービス開発を爆速でやって、サービスを磨き上げていく」という方針を全社員大会で発表しました。2013年の全社員大会では、「セキュリティもユーザーファーストである」と新たに付け加えました。経営層にもセキュリティの重要性が認知され、CSOからCEOやCOOへ働きかけもあり、部門面と設備面の両方で改善しやすい環境が整ってきました。
　情報システム部門やセキュリティ部門の予算は、カットされやすいこともあるとは思うのですが、それだと十分な対策ができなくなってしまうことも事実です。
　売上の何％は、防衛費に充てるといった考えが必要であるとセキュリティ対策の予算のあり方を見直しました。
 

■ セキュリティ対策は続く

　大きなインシデント後も継続して標的型攻撃を受け続けています。その中には、ゼロデイを利用した攻撃もありました。
　今後も引き続き、異常を検知し、すぐに対応できる環境整備が必要だと感じます。
 
　2012年からセキュリティを大幅に改定していくための中長期計画の原案を温めていました。2013年の春からさらに具体的なプランを練っていました。短期対策を行っている最中も担当者が発生したインシデントも考慮に入れた案を準備していました。短期対策後は、チーム内のエンジニアも含め、より詳細をつめていくことなりました。中長期のセキュリティ対策を過不足なく行うため、客観的視点で評価できる第三者として、セキュリティ企業にアドバイザーを依頼し、夏に対策案のレビューも実施していただきました。
 
　セキュリティ対策は、それぞれの担当部署が個別に検討や実施するのではなく、全体のバランスを取りながら実施される必要があるため、中長期対策は、CSO/CTOの元にセキュリティ対策プロジェクトを発足して進めています。
　特に関係の深いネットワーク部門と情報システム部門とセキュリティ部門を集めた本プロジェクトでは、扱う範囲が広いため、「サービス系」「情報システム」「監視」「インシデントレスポンス」などいくつかのワーキンググループに分けました。それぞれのワーキンググループのリーダーには、私のチームメンバーからリーダーを任命し、それぞれのグループを引っ張ってもらっています。
　セキュリティ部門と各現場は、考え方が異なるため、考えをまとめるのは、苦労しました。ネットワークが大きく、機器も多く、グループ会社もそれなりにあるため、必要な情報を集め、正確に把握するのにも苦労させられました。
　他部門のワーキンググループメンバーは、本来業務もあり、セキュリティ対策のための時間を確保してもらうのもなかなか難しいといった事情もありますが、なんとか時間を捻出しています。
 
　安心して利用できるサービス作りを支援していく部隊として、見える部分、見えない部分の両面でモニタリングやセキュリティ監視の整備、認証システムや検査の強化など、さまざまな方面に尽力していきます。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。