「goo」の広報ブログ「gooの音」

「goo」広報担当が、みなさんにとっておき情報をお伝えしていきます!

【エンジニアに訊く】脆弱性スキャナ一斉導入から1年経ったけど、その効果は?インフラエンジニアとサービスエンジニアに訊いてみた。

2018-06-26 | ★もっと知りたい!NTTレゾナント

ポータルサイト「goo」を運営するNTTレゾナントのサービス数は個人向けと法人向けを合わせるとその数は150。サーバーは4500台以上の規模となります。2017年7月、これら全てのサービス、サーバーに対して、新たに脆弱性スキャナVuls*1を一斉導入しました。今回はこのVuls導入を決めたインフラエンジニアと実際に脆弱性の対応をしているサービスエンジニアに、Vuls導入の経緯とその効果について訊きました。

*1: 脆弱性をスキャンするためのソフトウェア。サーバーの脆弱性情報を取得して、どんな脆弱性があるのかを検知する。読み方は「バルス」

 

右:ソリューション事業部 サービス基盤部門 白濱 將人
1996年に日本電信電話株式会社に入社。2004年にNTTレゾナントに配属。gooIDシステム、goo課金システムの開発を担当。直近では、経済産業省からのクレジットカード情報の取扱いに対する指針に従い、自社ECにおけるカード情報非保持化に対応するための決済システムを開発。Vulsのシステムを運用。

中央:ソリューション事業部 サービス基盤部門 渡邉 理恵
2012年にNTTコミュニケーションズに入社。2015年にNTTレゾナントに配属。主に社内クラウドにおけるPaaS(Platform as a Service)基盤を運用。Vuls導入における設計から開発までを担当。 

左:デジタルマーケティング事業部 広告営業部門  安田 つくし
2016年にNTTコミュニケーションズに入社し、NTTレゾナントに配属。gooの広告営業における技術的サポートを担当。広告レコメンドのためのデータ分析システム・業務自動化ツールの開発・運用を担当。また、サービス担当として、Vulsで検知された脆弱性対応にも取り組んでいる。

 

 



脆弱性の検知と対応状況の把握が課題だった

 

ーー本日は2017年7月に導入したVulsについてお話を伺いたいと思っています。早速ですが、Vulsを導入することになった経緯から教えてもらえますか?

 

渡邊
Vuls導入の大きな理由として、脆弱性の検知とその対応状況把握の効率化です。Vuls導入前の脆弱性の対応は、サービス担当者毎に管理・対応し、対応状況を基盤部門が一元管理のためにサービス担当者へ個別に状況確認をするという運用でした。
この運用だと、各サービス担当者が脆弱性の検知を個別に調べて対応しないといけないという課題があり、そこがサービス担当のストレスになっているということを感じていました。また、基盤部門としては対応状況を個別に連絡し、確認する手間が課題でした。
そこで、全社的に脆弱性を一元的に検知、報告すれば、各サービス担当と基盤部門の課題が解決できるということになり、Vulsの導入に至りました。

 

ーーなるほど。Vuls導入前は脆弱性対応のルールなどはあったのですか? 

白濱
サービスに対しては アプリケーションの脆弱性監査、ネットワークの脆弱性監査をルール化して運用していましたが、脆弱性への対応レベルをさらに引き上げるために、一斉に一元管理する必要性を感じていましたね。 

 

ーー脆弱性の検知以外にも対応レベルの把握も求められていたのですね。検知ツールはいろいろとあると思うのですが、なぜVulsを選ばれたのでしょうか。

渡邉
Vulsの大きな特徴は、導入にあたりサーバー側にソフトをインストールするなどの作業をほとんど必要としないということです。他社のツールでも似たような検知ツールがあるのですが、いろいろと導入に手間がかかりそうだという印象でした。またお金の面でもOSS*2なのでライセンス費用も発生しませんし、レゾナントの対応フローにあわせてカスタマイズできるということもありVulsにしました。

*2: オープンソースソフトウェアの略。無償で公開され、誰もが改良や機能追加をして、再配布が可能なソフトウェアを指す。(goo辞書より)

 

ーー具体的にはどういう部分をカスタマイズしたのでしょうか?

渡邊
Vulsは脆弱性を検知するのみなので、そこから各サービス担当者へ通知したり、通知の後の進捗管理は含まれていません。その通知や管理するというところは他のOSSなどと組み合わせて自社で開発しました。脆弱性を検知すると自動的にプロジェクト管理ツールのRedmineに起票されるシステムを作り、それで運用しています。 

 

ーー各サービス担当者へ通知するにはメールやコミュニケーションツールという方法もある中で、Redmineを選んだ理由は何かあるのですか?

白濱
サービスごとの脆弱性の対応状況を把握しておきたかったのですが、Redmineだとチケットのステータスを見ればすぐにわかるので、相性がよかったのです。また、もともと各サービスへの脆弱性以外のアラートをRedmineで通知していたので、サービス担当が慣れているツールをそのまま利用できるということも要因の1つではあります。 


 


脆弱性の検知から見えた課題とは

 

ーーVuls導入にあたって工夫された点はありますか?

渡邊
NTTレゾナントはプライベートクラウドを導入しており、サービスの新規開設や構成変更などがほぼ毎日行われています。このような変化が多い環境でも必要な情報を自動的に収集して管理できるようにしました。サービスの数は150、サーバーの数はおよそ4500台と大規模なのですがこれを毎日スキャンする必要がありその環境を作るのに苦労しました。4500台のサーバーに1台ずつスキャンすると1日でスキャンは絶対に終わらないことが分かりました。そこで大量のサーバーに対して並列してスキャンする仕組みを開発し、現在はVuls専用のサーバーを20台並べることで毎日スキャンすることが出来ています。 


ーー導入にあたって説明会を何度かされていましたが、サービス担当からの反応はどうでしたか?

渡邉
「フロントエンドとバックエンドとでは取り扱うデータや外部からのアクセス方法が異なり、同じ脆弱性であっても危険度が違うので、そこは分けて管理させてほしい」「お客様のサービスと自社サービスとでは対応する際の確認フローが違うので、そこはケアしてほしい」などの要望がありましたね。 

 

ーー導入後、サービス担当の反応は実際にどういう声が上がってきましたか?

白濱
「脆弱性の対応が辛い」って声が聞こえてきましたね(笑)。脆弱性の対応は何よりも優先して対応するべきものだということは、サービス担当もわかっていますが、対応は大変です。サービス担当の大変さもわかりますが、セキュリティという守らなければならないものではありますので、サービス担当者と対話をしながら迅速に対応できるようにフローの見直しなどをするようにしています。

 

脆弱性対応は運用フローもサービス担当と一緒に考えているとのこと
by 渡邊さん・白濱さん

 

ーーVuls導入してみて見えた課題はありますか?

白濱
検知した脆弱性への対応について、各サービス担当者ができない部分は私たちがサポートするようにしていますが、サービス担当の脆弱性対応に関する知識や技術レベルもあげることで、自立した対応フローにしたいと思っています。

これまでは、脆弱性対策の社内勉強会で参加するのは、エンジニア中心でした。今後は、エンジニアだけではなく、プロデューサーや営業担当にも勉強会に参加してもらうなど裾野を広げていきたいと思います。
脆弱性対応はトラブルが発生して初めてその対策の重要さに気づかされるんですよね。防災訓練と一緒なんですが、日頃からモチベーションを高く保って脆弱性対応に取り組んでいきたいですね。

 



サービス担当に寄り添いながら脆弱性に対応していくために

 

ーーそれでは、サービス担当の意見も聞いてみたいと思います。安田さんの所属する広告営業の技術チームではVuls導入前と後で何が変わりましたか?

安田
導入前は、セキュリティ担当からの周知や緊急に対応の必要がある脆弱性を自分たちで情報収集することをやっていました。ただ、この運用だと、対応する人が同じ人になってしまいがちで、脆弱性への対応が属人化してしまうことが課題でした。Vulsの導入後は、対応する人を私がアサインして対応のスケジュール管理をするようになったので、スピーディーかつ確実に対応することができるようになりました。脆弱性を知ることに週に数時間~半日ほど時間をかけていたので、それが無くなったことも大きいです。 

 

安田さんが対応者とスケジュールを決めて運用

 

ーー安田さんが脆弱性の対応者のアサインとスケジュール管理をしているのですね。具体的にはどういうフローで運用しているのでしょうか?

安田
Redmineに起票されるとアラートメールが私に飛んでくるので、それを見てチーム内に、対応の必要があるサーバーの一覧とアップデートするパッケージの一覧を共有しています。そのときに、対応者のアサインと対応スケジュールも決めて合わせて伝えています。脆弱性の対応が完了したら、Redmineのチケットが自動でクローズするので、それを確認するとすべての対応が終了する感じですね。例外的に緊急度が高いものや、影響範囲が大きいもの、対応に時間がかかるものは、チーム内の定例会議で細かく共有するようにしています。

 

ーー実際にVulsを入れてみて、良かったなと思うところと逆に悪いところはありますか?

安田
良いところは余計な心配をしなくてよくなったということが大きいですね。サービス担当としては、脆弱性を探す時間が減ったことと、きちんと対策することで、脆弱性に気を取られないで良くなったという心理的なストレスが大きく軽減されたように思います。サービスの開発業務に専念できることが助かっていますね。

悪いところは、余計な心配をしなくてよくなった代わりに脆弱性を深く考えなくなってしまっているなと思います。先程、モチベーションの話が出ましたが、「Vulsを入れたから安心」ではなく、しっかりと脆弱性の事件やニュースを自分で情報収集しないと、脆弱性への意識自体が薄れてしまうことになってしまいます。そこは気をつけないといけないですね。

 

ーー担当者として、Vulsにこういう機能が欲しいなどはありますか? 

安田
私達が管理しているサーバーは約100台あるので、どのサーバーのどのパッケージにどの脆弱性があるのかを把握するのが大変です。そんなときに、Vulsで検知された結果を一覧できるVulsrepoを使っています。Vulsrepoを見れば、サーバー、パッケージ、脆弱性ごとにソートできるので。今は、それをエクスポートできる機能が欲しいですね。今は、Vulsrepoの画面からコピペしてエクセルに貼り付けているんです(笑)

 

サーバー名やパッケージ名でソートできるのでVulsrepoはよく使っている by安田さん

 

ーーえ?エクスポート機能がないんですか?

白濱
ないですね。俺も欲しいくらい(笑) 

一同:
爆笑

「エクスポート機能は俺も欲しいんだよ~」と苦笑する白濱さん

白濱
エクスポート機能以外にも、Vulsrepoでは、数字として可視化している状況なのですが、ビジュアル的にももっとわかりやすくするためのダッシュボードを提供したいですね。

あとは、Vuls本体もバージョンアップしていきたいですね。今はサーバーにあるパッケージのログから脆弱性を検知しているのですが、もっと一般的な脆弱性情報から検知したりすることもできるようになります。検知の精度を上げていくという意味で、そこにもチャレンジしていきたいです。

 

【広報のあとがき】
Vulsにより脆弱性が迅速に見つかることによって、脆弱性検知に必要だった時間削減と脆弱性に対する心的ストレス改善に対して大きく効果が出ているようでした。ツールのさらなる改善と仕組みづくりでサービス担当者の手間を緩和していきたいと熱い想いを語ってくれました。サービス担当に寄り添いながら、より安心安全のサービスをともに作り上げていきたいという姿勢が感じられました。

 

この記事についてブログを書く
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 【社員紹介企画Vol.42】NTTレ... | トップ | gooポイントによる大阪府北部... »
最新の画像もっと見る

★もっと知りたい!NTTレゾナント」カテゴリの最新記事