カミナシ エンジニアブログ

株式会社カミナシのエンジニアが色々書くブログです

トップ > Security > 「守る」から「攻める」へ。セキュリティエンジニアがビジネスに貢献するために

「守る」から「攻める」へ。セキュリティエンジニアがビジネスに貢献するために

Security

どうもセキュリティエンジニアの西川です。このブログは Black Hat USA の帰りの道中で書きました。私は HayabusaSuzaku というファストフォレンジックツールを大和セキュリティというコミュニティで開発しており、その発表に行ってきました。
毎年 AWS re:Invent でラスベガスには行っています夏のラスベガスはとても暑かったです。

それはさておき、私は7月からセキュリティエンジニアリングのマネージャーをしています。
だからというわけではないのですが、私が普段意識していることを最近メンバーに共有することが多くなってきました。

それは言うなればセキュリティはビジネスと密接に関わっているということであり、それを踏まえるためには現状だけを見ていてはいけないということです。

セキュリティエンジニアの仕事は、単にサービスをセキュアにすることだけではありません。ビジネスを成功に導くための「攻めの姿勢」も求められます。

セキュリティエンジニアの意義

私たちセキュリティエンジニアはなぜ存在するのでしょうか?サービスをセキュアにするためでしょうか?それ以外にもセキュリティに関する何らかの施策を実施することでしょうか?

もちろんそれもありますが、もっと抽象化するとビジネスをセキュアにするために存在すると思っています。そう考えると行きすぎたセキュリティ対策は望むものではないということがわかってきます。

カミナシはスタートアップですから、お金を掛けるセキュリティ対策を導入/実施するかはシビアに必要性を問われます。そのため限られたリソースや制約の中で受容できるまでリスクを低減していく必要があります。ただ単純にリスクを低減することだけとも違うのです。

それはつまりどういうことでしょうか?

カミナシではセキュリティエンジニアを派遣する取り組みを行っています。

kaminashi-developer.hatenablog.jp

その中でセキュリティエンジニアは開発チームの中で既存の開発メンバーと同様に共に開発を行います。
また、カミナシではお客様から送られてくるセキュリティチェックリストもセキュリティエンジニアが一部回答に加わっています。意図的にこのような取り組みを行っていますが、それには次のような想いがあるからです。

セキュリティエンジニアがセキュリティチェックリストに回答する意図

この意図としては単純にセキュリティエンジニアがセキュリティの知識を持っているからというわけではありません。セキュリティチェックの今を知ることでサービスに足りないセキュリティ施策が何かを知るきっかけにできるからです。

私自身、セキュリティチェックへの回答はカミナシ内外問わず長い間関わっていますが、セキュリティチェックリストは年々変化してきており、以前と比べるとより高いセキュリティレベルを求められる傾向にあります。特に世の中的に大きなセキュリティインシデントが発生したり、規制が変更したり加わったりする際に大きく変わることが多い印象です。

もちろんその波は急に来ることもあれば、時間をかけて徐々に来ることもあります。

私たちセキュリティエンジニアはその波に飲み込まれないよう、さざなみをキャッチし、ビジネス戦略と自分たちのセキュリティ施策を絡めていつまでにどこまでやる必要があるかという話し合いをしています。

例えば、今まで中小企業をターゲットに営業活動をしていたものの、会社の戦略としてエンタープライズ企業をターゲットに切り替えていくことがあります。そうなった場合にエンタープライズにターゲットを変えてから「エンタープライズの要件に見合ったセキュリティ対策を実施していきましょう」では遅いことがあります。

あくまでも私個人の感覚ではありますが、エンタープライズのセキュリティ要件は年々厳しくなってきており、その波に乗り遅れるとエンタープライズ企業との契約が難しくなることもあります。

カミナシのサービスは「セキュリティができていないから契約できない」と言われないように、セールスがどういった企業を狙っていくのかビジネスの戦略の方向性を見ながら我々が満たさなければいけないセキュリティレベルや施策を決定しています。

カミナシのサービスを安心して使っていただくために

こうしてビジネスと連動してセキュリティを考えることは、カミナシのサービスをお客様に安心して使っていただくという外向きの意味合いだけではなく、セールスの皆さんが想いを込めて丁寧にお客様と紡いできたその結晶を無駄にしないことにもつながると信じています。

セキュリティチェックリストに自信を持って回答できる状態を作ることでセールスのリードタイムの短縮にも繋がります。これはセキュリティチェックリストの中身に疑義があるとやりとりの回数が増え、純粋に時間が掛かるからです。そうするとセールスの皆さんが常に先を見越して立てていた計画と齟齬が生まれてしまうことに繋がります。そうならないためにもセキュリティ施策やセキュリティチェックリストへの回答は重要になってきます。

カミナシでは自分の所属する部署以外のやりとりも透明性高く見ることができます。もちろん秘匿性の高い情報は除いてですが、その中でセールスの方々が叱咤激励しながら取り組んでいる姿勢を見ると私たちセキュリティエンジニアとしてもビジネスに貢献できることはないだろうか?と感化されることが多いです。

その中の一つとしてセキュリティチェックリストに自信を持って答えられるというのは重要なことです。セールスの皆さんの安心感にもつながります。彼らが「カミナシのサービスのセキュリティは大丈夫です!」と自信を持ってお客様に言えるように、セキュリティエンジニアとして矜持を持って仕事に取り組んでいます。

今回はセキュリティチェックリストを引き合いに出しましたが、これはその一例です。他にもビジネスの方向性に合わせて様々な取り組みを行っています。

そうやって組織一丸となって社会と向き合っているのがカミナシという会社です。

セキュリティチェックリストをどう捉えるか

これは本題から少し逸れるのですが、比較的工数を取られるがために嫌われがちなセキュリティチェックリストですが、セキュリティチェックリストにセキュリティエンジニアが関わることで、サービス開発に関わるだけでは出てこないセキュリティ要件を見つけることができます。それ以外にもセキュリティチェックリストに回答することで聞かれている設問になぜそれを満たせていると言えるのか、言えないのかの説明責任を果たす訓練にもなりますし、言語化するきっかけにもなります。

つまり、セキュリティチェックリストを単なるタスクと捉えるのか成長の機会と捉えるのかは私たち次第ということです。

さらに、セキュリティチェックリストの中でも本質的な問いを投げかけてくれるセキュリティチェックリストは私自信回答していて楽しいです。特に自分にない観点であったり、その設問が意図している背景が垣間見えるとより嬉しいです。きっと素晴らしいセキュリティエンジニアがいるのだろうなと想像してワクワクすることもありますし、想いを込めてお互いが学びにつながるセキュリティチェックリストが増えればみんなにとって良いと思うので、私自身もそういうものを作りたいなと思っています。

最後に

セキュリティはビジネスの信頼を築く土台であり、セールスや開発チーム、そしてお客様との絆を深めるための重要な役割を担っています。

最近カミナシに入ってきたエンジニアの方に「カミナシほどセキュリティが進んでいるところを見たことがないです」と仰っていただきました。もちろんお世辞もあることでしょう。それでも自分たちのセキュリティの取り組みには自信がありますし、一つ一つに意志を込めて、やるものやらないものを説明責任が果たせる状態にしています。

カミナシではこういった環境で共に開発をしてくださるメンバーを求めています。ぜひ一緒に働きましょう!