DeNAでも大規模なオンプレミスの全面クラウド移行を決定するなど、インフラエンジニアを取り巻く環境はダイナミックに変化しています。
「今後のキャリアを考えるなら、セキュリティの知識は必要」
と言われたことをきっかけにセキュリティの勉強を始めた、DeNA IT基盤部の片山 祥一(かたやま よしかず)。
彼は今、数あるDeNAの事業の中でも特にセキュリティが堅牢なヘルスケア事業を担当しています。
最高レベルのセキュリティと操作性をいかに実現するか。
ヘルスケア領域でセキュリティに携わる難しさとやりがいを、IT基盤部としばしば並走するセキュリティ部所属の森 槙悟(もり しんご)とともに語ります!
「データは絶対に外に漏らさない」当たり前を仕組みで徹底
IT基盤 片山:これまでもフルスイングでは、クラウド化の全面移行やプロジェクトの進捗と展望など、何度か”今”DeNAでインフラの仕事に携わる魅力をお伝えしてきました。
今回は「最高レベルのセキュリティを実現するDeNAのヘルスケア領域でインフラに携わる魅力」をお伝えできればと思っているんですよ。
音楽配信事業会社でインフラエンジニアとしてのキャリアをスタートし、2016年DeNAに中途入社。DeNAの中でも特にセキュリティを重視するヘルスケア事業を担当。『MYCODE』、『KenCoM』、『歩いておトク』、AI創薬等のサービスを運用している。
セキュリティ 森:いいですね。DeNAでのヘルスケア領域は最高レベルのセキュリティを実現しているという自負がありますし、ぜひその魅力をお伝えしたい。
考えてみたら、片山さんとSlackでやりとりすることはあっても、こうして対面で話す機会って実はあまりないですよね。今日はよろしくお願いします。
IT基盤 片山:よろしくお願いします。
セキュリティ 森:まず、読者の方に私たちの役割と関係性からお伝えしておきましょうか。
IT基盤 片山:私が所属するIT基盤部は、社内横断的にインフラ整備を担っているのですが、その中でも私は、ヘルスケア事業サービスのインフラを担当しています。
ヘルスケア事業のインフラ担当として、堅牢なセキュリティを担保しながらサービス運用を行う事は絶対的に必要。
そのため、サービスのあるべきセキュリティを設計して、必要なツールの検証を繰り返しソリューション選定、実装、運用までを担うのは大変ですが、やりがいがありますね。
森さんには 新しいツールを導入したいとき、セキュリティ観点でのレビューをお願いしています。最近ではWAF(※1)の導入でお世話になりましたよね。
セキュリティ 森:そうでしたね。
私が所属するセキュリティ部はDeNAの横断組織として脆弱性診断まわりのほか、セキュリティ関連ツールの作成、セキュリティポリシーの整備、SOC(※2)などを担当しています。
私自身は、アーキテクチャ設計のセキュリティレビューや脆弱性診断を日々行っているんです。セキュリティ部とIT基盤部が連携することも多いですよね。
2013年DeNAに新卒入社。以降、一貫してセキュリティ技術グループでDeNAが関わる各サービスの脆弱性診断、設計レビュー、ポリシーの整備等に従事。直近ではクラウドのセキュリティ調査・導入を行っている。プログラミングコンテストに趣味として参加。ICPC2012世界大会18位タイ、ICFPC2018世界9位など。
IT基盤 片山:そうなんですよね。クラウドセキュリティの監査とか、『KenCoM』、『MYCODE(マイコード)』のように、新しいシステムを作るときとか。
常に一緒に動くというわけでないですが「プロジェクト的に関わることが多い」という感じでしょうか。
IT基盤部にいながらセキュリティの知識がつくし、仕事の幅が広がっていくなと感じますね。
セキュリティ 森:ヘルスケア事業部のデータの安全性を保つことは、セキュリティに関わる仕事としても特に難易度が高いと思います。
DeNAのインフラを担う立場として、片山さんが特に心がけていることって何でしょう?
『KenCoM』では健診結果やレセプト情報、『MYCODE(マイコード)』では遺伝子情報など、取り扱いに細心の注意を要し、絶対に漏洩してはならない最高レベルの情報を保有しています。
セキュリティ 森:具体的には、セキュリティを守るために普段どういったことを心がけていますか?
IT基盤 片山:MySQLやOS操作も全てログを取り、証跡を残すことを徹底していますね。
他にも、不要なサービスが起動していないことの監視や、ミドルウェア設定ファイルへ意図しない変更が無いか変更検知を行っています。
また、本番環境のサーバで設定変更やデータ抽出作業をするためには、複数の人間から権限を付与される必要があり、1人で自由にデータに触れることはできない仕組みになっています。
セキュリティ 森:ヘルスケア事業部では、データベースへのアクセスについてもセキュリティをより強固にしていますよね。パスワード認証ではなく証明書による認証を徹底していますし。
IT基盤 片山:はい。そもそもSSL通信じゃないとアクセスできませんしね。それに、データ自体が暗号化され、システム的に承認が必要となる複雑な手順を踏まなければ復号できないようになっています。
「使いやすさ」と「安全性」の両立
セキュリティ 森:とはいえ「セキュリティはただ堅牢にすればいいわけではない」んですよね。
先ほど片山さんが、「データ抽出や変更時には、複数人から権限を付与されて初めて作業ができる」とおっしゃいました。
これは特別なケースであって、他の事業だと二要素認証を導入するくらいでここまで厳しくしていませんからね。構築するシステムの特性に応じて、適切なレベルのセキュリティを検討し、設定していくことが重要です。
全てのシステムに対してロックを何重にも設定することは、もちろん可能です。しかし、そうすれば運用が煩雑になり使いにくくなってしまう。
IT基盤 片山:同感です。
最高レベルのセキュリティを実現しながらも、可能な限りシンプルな構成にしたい。
「データの安全性をキープし操作性にも優れている」のが理想的です。使いやすさと安全性という、一見すると相反する2つのことをいかに両立させるかが課題ですよね。
セキュリティ 森:はい。
セキュリティ部で運用ポリシーを策定する際にも「いかに事業部サイドが使いやすいと思えるか」を考えます。
実際にはセキュリティがしっかりしているけど、それを感じさせないくらい使いやすい。そんな仕組みがいいですね。
IT基盤 片山:ところで森さん、いまの仕事で1番面白いと感じるのはどんなときですか?
セキュリティ 森:開発段階で脆弱性診断を実施している最中に、違和感があったら深めに挙動をチェックするのですが、そこで”勘”が当たり課題を見つけた時ですかね。
IT基盤 片山:わかります。
私はサーバのリソースをグラフ化し、日単位、週単位、月単位で動きを見比べていますが、「いつもと違う傾向」を見出して、そこから課題を特定できた瞬間は楽しいですね。
セキュリティに関われることにもやりがいを感じます。
設計時は考慮漏れが無いか網羅的に考え、課題を1つ1つ解決していくので労力を要しますが、その積み重ねで利便性を損ねない堅牢なシステムが構築された時は達成感がありますね。
ヘルスケアを始め「DeNAが保有する情報を自分たちが守っている」と感じられることに誇りを持てています。
セキュリティの知識とスキルは、武器になる
セキュリティ 森:片山さんは転職されていますが、なぜDeNAに入ろうと思われたのですか?
IT基盤 片山:「技術の会社」と言われるDeNAで、もっと技術を磨きたかったからです。
DeNAは「ないものは自分たちでつくる」マインドが高いことは知っていました。
元々、転職する気はなかったんですが、DeNAの話を聞いているうちに技術力が高い上にそうした「ないものは自分たちでつくる」マインドの高さに改めて驚いて。
オープンソースで存在しなかったら必要な監視はスクリプトを組んでブラッシュアップしていく。
前職でも自分たちでツールをつくるケースはありましたが、実際に入社してからDeNAはかなり高レベルだと実感しましたね。
セキュリティ 森:どんなところに技術力の高さを感じましたか?
IT基盤 片山:サーバ情報は独自の運用に必要な概念が定義されていて、その情報を元に管理しています。これがあるおかげでサーバの用途や状態がリアルタイムに把握できるだけでなく、欲しい情報へのアクセス効率が飛躍的に向上した事を実感しています。
また、一時的な設定変更の戻し忘れ等のヒューマンエラーを検知しアラートを上げるスクリプトがさまざまなところで動いており、エラーを未然に防いでいます。
これらが、DeNAの安全性を支えているんです。
監視にしても、目的ごとに自分たちでツールを開発し、極めて高い精度で監視できていますしね。
セキュリティ 森:片山さんはもともとセキュリティには関心があったのですか?
IT基盤 片山:実は、初めはそんなにセキュリティに関心があったわけではないんです。
前職の上司から「今後のキャリアを考えるなら、セキュリティの知識は必要」と言われ、そこから勉強を始めました。
今、セキュリティをつくっていく立場になってみて、セキュリティのやりがいや奥深さを感じ、いまではすっかりこの仕事のとりこになっています。
森さんは新卒でDeNAに入社していますよね。元々セキュリティへの興味はありましたか?
セキュリティ 森:いえ、大学では少し学びましたが、セキュリティは専門分野ではありませんでした。
私も片山さんと同じで、研修や実際の業務を通じて楽しさを感じた人間の1人です。
自分たちの取り組みで社会的意義が高いヘルスケア事業を支えられているのは、とても面白い。今後もセキュリティを極めていきたいと思っています。
IT基盤 片山:常時SSL通信時代ですからね。セキュリティの知識とスキルは開発でもインフラでも活用できます。
開発をするにしても、セキュリティのことを考えられるか、そうでないかの差は大きいはずです。
常に学び、挑戦できる人と一緒に働きたい
IT基盤 片山:森さんが「こんな人と働きたい」と思うのはどんな人ですか?
セキュリティ 森:技術者として、基礎がありつつも新しいことに興味がある方ですね。セキュリティの文脈だと使いやすさと安全性をいかに両立できるかを考えられるかも重要だと思います。
IT基盤 片山:そうですね。個人的には、コミュニケーションを大事にする人かな。
事業サイドへのヒアリングから、要求は何かを引き出す。普段から関係性づくりを重視する考えを持つ人となら、仕事がスムーズに進みます。
セキュリティについての知識は、入社後からつけていくこともできますし。
セキュリティ 森:配属後のトレーニングもありますし、社内には専門的なスキルを持った人がいますからね。
あと、マインド面について。
全社的に言えることですが、DeNAは課題発見意識や解決意識が高く自発的に動ける方が多いです。
社内のあちらこちらでブレストしていますよね。
IT基盤 片山:確かに、DeNAではよく見られる光景ですね。
セキュリティ 森:入社して間もない人でも、提案にロジックがあれば意見は通りますしね。
新しい技術を採用した方が良いというなら「実際に小さく導入して良い結果を出し、見せる」というのも1つの手です。
具体的な例としては、5年ほど前に内部用のツールを複数のサーバ・クライアントにインストールして動かす必要があったため、Dockerで動かすように移行して採用してもらいました。
現状ここが使いにくいなと感じたら、スクリプトを書いたり、実際にモノをつくったりする。
そんなことがかなりの頻度で起こっています。トライ・アンド・エラーを通じて、成長ができますよ。
IT基盤 片山:最高レベルの機密情報を運用とのバランスを考えてセキュリティを設計し、守っていく。
社会的意義が高いヘルスケア領域で、最高レベルのセキュリティ知識と技術を身につけたいインフラエンジニアの方、お待ちしています!
※本記事掲載の情報は、公開日時点のものです。
執筆:薗部 雄一 編集:榮田 佳織・栗原 ひろみ 撮影:小堀 将生
■こちらの記事も読まれています
見据えるのは世界レベルのセキュリティ。DeNAが脆弱性診断、企業内CSIRTに続きSOCを内製化する背景
