カミナシ エンジニアブログ

株式会社カミナシのエンジニアが色々書くブログです

トップ > Security > カミナシにおけるセキュリティの文化の作り方

カミナシにおけるセキュリティの文化の作り方

Security

こんにちは、セキュリティエンジニアリングの西川です。息子が8歳なのですが、生まれてからずっと可愛いままで、いつまでこの可愛さは続いてしまうのでしょうか。

ということで、今日はセキュリティの文化の作り方について話をしていこうと思います。 セキュリティの文化の作り方ってなんなんだろう と言いますか、日々私自身、手探りなのですが、今日は取締役CTOの原トリ(以下トリ)からもらった金言とともにカミナシにおけるセキュリティの文化の作り方について書いていきたいと思います。

カミナシにおけるセキュリティの文化の定義

その前にセキュリティの文化を定義していかなければスタートラインにすら立てないわけですが、カミナシにおいては、セキュリティの問題をセキュリティ担当者の介在なしに、自分たちで気付き、セキュリティの問題をお互い注意し合えるようになるという定義を行っています。これは開発だけではなく、コーポレートでも同じです。

例えば、みなさんWebブラウザのアップデートをきちんとしていますか? 当然していると思うのですが、時々Web会議をしていて画面共有した際に、「あれ、この人してないな」という時あったりしますよね?ね?ね?ね?

その時に見過ごしているようではセキュリティの文化があるとは言えないのです(カミナシでは)。かつ、これをセキュリティ担当者やCTOからトップダウン的に指摘が入るようでもいけません。同じチームの仲間が「アップデートしようね」という風に気軽に声がけできるようになることを目指しています。

あくまでもこれは一例ですが、そういった一歩一歩を積み重ねてセキュリティインシデントが起きづらい組織を作っていこうとしています。

トリの金言

さてさて、話は戻りますが、セキュリティをやっている者としては、事故は未然に防ぎたいのです。これって多分誰しもそう思うのですが、例えるなら、私は車で言うところの暗くなったら自動でライトが付くみたいなやつが理想だと思っていたんですね。大事なことは運転手は意識する必要がないというものです。

でも、トリは違ったんです。 いや、すごい語弊がありそうなのですが、あくまでも例えというところとセキュリティを文化にしていくにはという意味合いなので誤解なきようお願いしたいのですが、 トリは「暗くなったよ」って運転手に知らせてほしいっていうんですね。

セキュリティでいうなら検知はしてほしいけどブロックはしないでっていうことです。 最初は意味がわからなかったのですが、これがカミナシには必要だっていうんです。

誤解しないでいただきたいのは、これがガチガチにセキュリティを固める必要がある組織だったりプロダクトだったりした場合には話が変わってくるのと、もちろんブロックするべきところはするという前提では当然あるのですが、あくまでも私たちセキュリティエンジニアリングの目的はセキュリティの文化を醸成していくことです。

そして、おそらくですが、長期的な目線で見ると開発者がセキュリティを意識し、未然に脆弱性を埋め込まないためにみたいなことを考えると、この方法がすごくしっくりくるなと私も思いました。

どういうことかというと、検知されて適切にそれが開発者にエスカレーションされると、何がいけなかったか開発者が気をつけるきっかけになりますよね。しかし、開発者が意識していないところでブロックしてしまうと開発者の気付く機会を奪ってしまうことになります。そうするとどうなるかというと、もし、このブロックできる仕組みが働いていない環境で開発者が実装を行うと、セキュリティの問題があるリソースが作られたり、設定不備があったり、いろいろな問題が生じる可能性があります。

ですので、検知し、適切にエスカレーションすることで、開発者がなぜこの設定をしなければいけないのか、一人一人が考えて堅牢化していく。これこそが文化を作っていくことなんだという話がありました。

セキュリティエンジニアリングのゴール

もともと私はガチガチにしようとしていて、それはセキュリティに問題がある設定はそもそもさせないというもので、それこそがガードレールだーなんて思ってたわけなんですが、カミナシにおいてのゴールがそこじゃなかったんですね。 設定できるのはいいけど、それを検知して開発者に伝える。そして何がいけなかったのか気付いてもらう、さらにいえば、開発者から

「こういうセキュリティポリシーを定義して検知できるようにした方が良いんじゃないですか?」

とか、

「このセキュリティポリシーって本当に必要ですか?」

というような提案が、セキュリティエンジニアリングに対して上がる組織を目指していて、セキュリティエンジニアリングはそういう環境を整えて、エンジニアリング全体で強くなっていく!というトリの意志がここにあり、ここを目指していくんだということを言われ、あまりにも衝撃を受け、感動したため、勢いでこのブログをしたためた次第です。

ということで、組織によって文化は当然違うとは思うのですがカミナシのセキュリティエンジニアリングが目指していくところはここだ!ということで、ともに働いてくれる仲間を募集しております!

告知

きたる8月26日にSecurity-JAWS DAYS(https://s-jaws.doorkeeper.jp/events/155024)で私、西川が「Amazon Verified Permissionsを利用した責務の分割のメリット・デメリット」という題で登壇いたします。いろいろなセキュリティの貴重な話が聞ける1日となると思います。オフライン、オンラインともに参加者を募集しておりますので、もしよろしければご参加ください!!