カウリスは、セキュリティ・ソリューションである不正アクセスを検知するサービス「FraudAlert(フロードアラート)」の開発・販売を行っているベンチャー企業です。ログイン、認証、口座開設時などに、機械学習によってユーザーの「本人らしさ」を確認・判定し、他人や機械による不正アクセスのリスクを検知。リスクのある場合にだけ事業者側から追加認証を発動させるため、ユーザーに余計な負荷をかけずに安全なログイン環境を作り出す仕組みとなっています。
これらの要望に応えるため、同社はIPS/IDS(不正侵入の検知・防御)のリプレイスと共に、サービス提供の基盤となっているAWSアカウント管理の効率化と、セキュリティ強化を計画しました。このプロジェクトの技術支援ならびにコンサルティングを担当することになったのがクラスメソッドです。どのような課題意識をもって本件に取り組んだのか、「AWS技術コンサルティングサービス」を利用したメリット、今後のセキュリティ対策に対する展望まで、セキュリティ事業部 開発課のHさん、Aさん、Nさんに詳しくお話をうかがいました。
要求されるセキュリティ水準に、スピード感をもって引き上げる
カウリスが創業した2015年といえば、政府全体の基本戦略である「サイバーセキュリティ戦略」が策定された年です。2018年には金融庁からTLPT(脅威ベースのペネトレーションテスト)実施を推奨する報告書が出され、また2020年6月には「金融分野におけるサイバーセキュリティ強化に向けた取組方針」がアップデートされるなど、行政からはサイバーセキュリティ強化に向けて、より一層の努力をするよう促され続けている状況です。
このような中、セキュリティ・ソリューションのベンチャー企業であるカウリスは、自社サービスの開発に全力を注いできました。サイバーリスク対策に敏感なお客様が多いという顧客層の特性もあり、アカウント契約数が増えていく中で、徐々にサービス提供元であるカウリス自身のセキュリティについても要求水準が上がってきたといいます。
「第一に課題として感じていたのは、IPS/IDSの部分です。当時導⼊していた製品の機能では、現在求められている⽔準に対して不十分になってきており、リプレイスする必要を感じていました。もう一つ検討が必要だったのはAWSアカウントのセキュリティ対策についてです。サービスが拡⼤するにつれて扱うAWSアカウントが増えており、さらにコロナ禍によるリモートワークでのルートアカウント管理についても課題を感じていました」(Aさん)
2020年秋頃、このような課題感から同社ではパートナーとなるベンダーを検討し始めました。
まず、AWSのルートアカウント管理については、「クラスメソッドメンバーズ」にてアカウントを預ける方法を採用しました。これは開発メンバーのAさんとNさんが、それぞれ前職でクラスメソッドとのプロジェクトを経験しており、業務効率的にもセキュリティ的にもクラスメソッドメンバーズを利用するのが⼀番良いと考えたそうです。
一方で、セキュリティソリューションのリプレイスについては2021年3月に完了させたいという希望がありました。3ヶ月という短い目標期間の中でスピード感をもって取り組むためにも、AWSの知見を持つ専門家からの助言が必要だとの認識に至り、「クラスメソッドメンバーズ」のAWS技術コンサルティングサービスによる技術支援をご依頼いただきました。
「今回進めたかった“セキュリティ対策”は独自性が必要なものではなく、むしろ他社のナレッジを参考にしながら、スピード感をもって対応したいという内容でした。ただ、今後のセキュリティ運用のことを考えると、完全に外注するのではなく社内にナレッジを溜めておきたい。これらの状況から、クラスメソッドさんに技術支援をお願いし、自社で実装するのが最適だと判断しました」(Hさん)
守るべきモノの切り分けと、判断軸の数値化からスタート
プロジェクトを進めるに当たって、Aさんは全てのサーバーについて洗い出し、アプリケーション、データベースなど種別を把握した上で、セキュリティの優先度などを設定した一覧を用意していました。ただ、この時は明確な軸を持たず、これまでの開発経験からの体感値でプライオリティを設定していたと言います。
「クラスメソッドさんには、ツールの導入や対策以前に、まず守るべき所がどこなのかの切り分け、判断の軸になる基準を教えていただきました。可用性、インターネットからの距離など、それぞれの軸について数値化し、“この数値であればOKということにしましょう”とか“ここを超えたらツールを入れて対策しましょう”というように決めていったんです。ロジックがはっきりしたことで、自信を持って提案できるようになり、経営陣への提案もスムーズに行えました。」(Aさん)
セキュリティ製品を導入することが効果的な部分とそうではない部分、既存サービスへの影響度、また予算という課題もあります。24時間365日対応が必要なものはマネージドサービスを使い、日々の運用は知識を積みながらインハウスで対応するなどの役割分担も考えてサービスを導入しました。カウリスさんにセキュリティ対策に対する明確な目的意識があり、クラスメソッドからの提案についてもスピード感をもって対応いただいたため、わずか3ヶ月という短期間でリプレイスは予定通り完了しています。
AWS全体のセキュリティ対策については、クラスメソッドからの提案でAWS Security Hubの導入を行いました。これはAWSが定義している基準に照らし合わせて、アカウントレベルの設定とセキュリティチェックを自動的に実行してくれる機能です。チェック結果はスコア化した一覧で提供されるため、対応の優先度を検討する一つの指標になります。
「Security Hubで出てきた問題点を見ていると、これまで構築してきた過去の経緯などから薄々良くないと分かっていた部分や、本当はこうしたかったけどできずにいた、というような、認識している部分がほとんどでした。これらのリスクレベルが数値化されて出てきたことで、修正の良いきっかけになりました」(Hさん)
修正の優先順を判断するにあたっては、このチェック結果をもとにしたクラスメソッドからのアドバイスが有効だったそうです。限られたリソースを有効に活用してリスクに対処するには、チェック結果に示された重要度の高さだけでなく、ビジネス的な判断や現場の判断が不可欠です。
「クラスメソッドさんにはリスクの中身やロジックを説明していただけたので、範囲を決めて修正するものや、あえて保留にするものなど、実際の利用状況に沿った優先順位の判断ができました」(Hさん)
同社では、AWSの全体的なセキュリティ対策について、以前からクラスメソッドの技術ブログ「DevelopersIO」などから情報収集を行っていたそうです。そうした事前の知識のおかげで、クラスメソッドの担当者からのコンサルティング提案についてもスピード感を持って検証することができ、3ヶ月の期間内に着実に対応を進めることができたと言います。
“ツールを入れれば終わり”ではない、続いていくセキュリティ対策
「実は私は、仕事の中でコンサルティングを受けることそのものが初めての経験でした」と言うHさんは、“コンサル”を受ける意味や効果に疑いを持っていたところもあったと本音を明かしてくれました。
「今回、専門家の方からアドバイスをいただくことが意義あることなんだと、本当によく分かりました。技術支援によって助けられただけでなく、施策について“第三者”からの評価を得ることによって、社内外に対して説得力を増すことができました。また自分たちの独りよがりでないという自信にもつながりました。セキュリティ対策は、今回目処が経ってもそれで終わりということではありません。今後検討し続けていくに当たって、クラスメソッドさんとは相談できる関係性を維持していきたいと考えています」(Hさん)
当初は3ヶ月間だけの予定としていた技術支援ですが、同社ではその後も支援期間を延長し、継続的な支援を受けることを決めました。
Nさんは、クラスメソッドとカウリスの本プロジェクトがスムーズに終わり、また適切な役割分担によって期待通りの効果が出たことに安心した、と語ってくれました。
「弊社はスタートアップで人数も限られる状況なので、どうしても注力すべき分野を選ぶ必要があります。そのため自社でリソースが足りない部分は、信頼できる外部のパートナーや専門家がいれば、スピードアップを図るために依頼することも検討しています。AWSに関するセキュリティについては、具体的な事例を沢山知っている数少ない専門家がクラスメソッドさんだと思っています。」(Nさん)
今後はAWSに精通していないメンバーも安⼼して開発ができる環境作りを目指していきたいと語る同社。クラスメソッドは、多数のAWSコンサルティングを行ってきた知見を通して幅広く技術支援を行い、お客様の開発スピードの加速とビジネス拡大に、今後も貢献してまいります。
