gooサンクスチームでは、gooクイズ第2弾「七夕キャンペーン」を開催中です
クイズは全3問。全問正解した人の中から抽選で、七夕にちなんで7名様にメグたんブランケットをプレゼント。夏場のエアコン対策にぴったりです! ぜひご参加ください。
キャンペーンはgooサンクスチーム(@goo_thanks)をフォローして、ヒントをたよりに答えのハッシュタグを選んでツイートしてください。
詳細はこちら
1問目(6月27日公開)
2問目(6月28日公開)
3問目(6月29日公開)
ポータルサイト「goo」を運営するNTTレゾナントのサービス数は個人向けと法人向けを合わせるとその数は150。サーバーは4500台以上の規模となります。2017年7月、これら全てのサービス、サーバーに対して、新たに脆弱性スキャナVuls*1を一斉導入しました。今回はこのVuls導入を決めたインフラエンジニアと実際に脆弱性の対応をしているサービスエンジニアに、Vuls導入の経緯とその効果について訊きました。
*1: 脆弱性をスキャンするためのソフトウェア。サーバーの脆弱性情報を取得して、どんな脆弱性があるのかを検知する。読み方は「バルス」
右:ソリューション事業部 サービス基盤部門 白濱 將人
1996年に日本電信電話株式会社に入社。2004年にNTTレゾナントに配属。gooIDシステム、goo課金システムの開発を担当。直近では、経済産業省からのクレジットカード情報の取扱いに対する指針に従い、自社ECにおけるカード情報非保持化に対応するための決済システムを開発。Vulsのシステムを運用。
中央:ソリューション事業部 サービス基盤部門 渡邉 理恵
2012年にNTTコミュニケーションズに入社。2015年にNTTレゾナントに配属。主に社内クラウドにおけるPaaS(Platform as a Service)基盤を運用。Vuls導入における設計から開発までを担当。
左:デジタルマーケティング事業部 広告営業部門 安田 つくし
2016年にNTTコミュニケーションズに入社し、NTTレゾナントに配属。gooの広告営業における技術的サポートを担当。広告レコメンドのためのデータ分析システム・業務自動化ツールの開発・運用を担当。また、サービス担当として、Vulsで検知された脆弱性対応にも取り組んでいる。
脆弱性の検知と対応状況の把握が課題だった
ーー本日は2017年7月に導入したVulsについてお話を伺いたいと思っています。早速ですが、Vulsを導入することになった経緯から教えてもらえますか?
渡邊:
Vuls導入の大きな理由として、脆弱性の検知とその対応状況把握の効率化です。Vuls導入前の脆弱性の対応は、サービス担当者毎に管理・対応し、対応状況を基盤部門が一元管理のためにサービス担当者へ個別に状況確認をするという運用でした。
この運用だと、各サービス担当者が脆弱性の検知を個別に調べて対応しないといけないという課題があり、そこがサービス担当のストレスになっているということを感じていました。また、基盤部門としては対応状況を個別に連絡し、確認する手間が課題でした。
そこで、全社的に脆弱性を一元的に検知、報告すれば、各サービス担当と基盤部門の課題が解決できるということになり、Vulsの導入に至りました。
ーーなるほど。Vuls導入前は脆弱性対応のルールなどはあったのですか?
白濱:
サービスに対しては アプリケーションの脆弱性監査、ネットワークの脆弱性監査をルール化して運用していましたが、脆弱性への対応レベルをさらに引き上げるために、一斉に一元管理する必要性を感じていましたね。
ーー脆弱性の検知以外にも対応レベルの把握も求められていたのですね。検知ツールはいろいろとあると思うのですが、なぜVulsを選ばれたのでしょうか。
渡邉:
Vulsの大きな特徴は、導入にあたりサーバー側にソフトをインストールするなどの作業をほとんど必要としないということです。他社のツールでも似たような検知ツールがあるのですが、いろいろと導入に手間がかかりそうだという印象でした。またお金の面でもOSS*2なのでライセンス費用も発生しませんし、レゾナントの対応フローにあわせてカスタマイズできるということもありVulsにしました。
*2: オープンソースソフトウェアの略。無償で公開され、誰もが改良や機能追加をして、再配布が可能なソフトウェアを指す。(goo辞書より)
ーー具体的にはどういう部分をカスタマイズしたのでしょうか?
渡邊:
Vulsは脆弱性を検知するのみなので、そこから各サービス担当者へ通知したり、通知の後の進捗管理は含まれていません。その通知や管理するというところは他のOSSなどと組み合わせて自社で開発しました。脆弱性を検知すると自動的にプロジェクト管理ツールのRedmineに起票されるシステムを作り、それで運用しています。
ーー各サービス担当者へ通知するにはメールやコミュニケーションツールという方法もある中で、Redmineを選んだ理由は何かあるのですか?
白濱:
サービスごとの脆弱性の対応状況を把握しておきたかったのですが、Redmineだとチケットのステータスを見ればすぐにわかるので、相性がよかったのです。また、もともと各サービスへの脆弱性以外のアラートをRedmineで通知していたので、サービス担当が慣れているツールをそのまま利用できるということも要因の1つではあります。
脆弱性の検知から見えた課題とは
ーーVuls導入にあたって工夫された点はありますか?
渡邊:
NTTレゾナントはプライベートクラウドを導入しており、サービスの新規開設や構成変更などがほぼ毎日行われています。このような変化が多い環境でも必要な情報を自動的に収集して管理できるようにしました。サービスの数は150、サーバーの数はおよそ4500台と大規模なのですがこれを毎日スキャンする必要がありその環境を作るのに苦労しました。4500台のサーバーに1台ずつスキャンすると1日でスキャンは絶対に終わらないことが分かりました。そこで大量のサーバーに対して並列してスキャンする仕組みを開発し、現在はVuls専用のサーバーを20台並べることで毎日スキャンすることが出来ています。
ーー導入にあたって説明会を何度かされていましたが、サービス担当からの反応はどうでしたか?
渡邉:
「フロントエンドとバックエンドとでは取り扱うデータや外部からのアクセス方法が異なり、同じ脆弱性であっても危険度が違うので、そこは分けて管理させてほしい」「お客様のサービスと自社サービスとでは対応する際の確認フローが違うので、そこはケアしてほしい」などの要望がありましたね。
ーー導入後、サービス担当の反応は実際にどういう声が上がってきましたか?
白濱:
「脆弱性の対応が辛い」って声が聞こえてきましたね(笑)。脆弱性の対応は何よりも優先して対応するべきものだということは、サービス担当もわかっていますが、対応は大変です。サービス担当の大変さもわかりますが、セキュリティという守らなければならないものではありますので、サービス担当者と対話をしながら迅速に対応できるようにフローの見直しなどをするようにしています。
脆弱性対応は運用フローもサービス担当と一緒に考えているとのこと
by 渡邊さん・白濱さん
ーーVuls導入してみて見えた課題はありますか?
白濱:
検知した脆弱性への対応について、各サービス担当者ができない部分は私たちがサポートするようにしていますが、サービス担当の脆弱性対応に関する知識や技術レベルもあげることで、自立した対応フローにしたいと思っています。
これまでは、脆弱性対策の社内勉強会で参加するのは、エンジニア中心でした。今後は、エンジニアだけではなく、プロデューサーや営業担当にも勉強会に参加してもらうなど裾野を広げていきたいと思います。
脆弱性対応はトラブルが発生して初めてその対策の重要さに気づかされるんですよね。防災訓練と一緒なんですが、日頃からモチベーションを高く保って脆弱性対応に取り組んでいきたいですね。
サービス担当に寄り添いながら脆弱性に対応していくために
ーーそれでは、サービス担当の意見も聞いてみたいと思います。安田さんの所属する広告営業の技術チームではVuls導入前と後で何が変わりましたか?
安田:
導入前は、セキュリティ担当からの周知や緊急に対応の必要がある脆弱性を自分たちで情報収集することをやっていました。ただ、この運用だと、対応する人が同じ人になってしまいがちで、脆弱性への対応が属人化してしまうことが課題でした。Vulsの導入後は、対応する人を私がアサインして対応のスケジュール管理をするようになったので、スピーディーかつ確実に対応することができるようになりました。脆弱性を知ることに週に数時間~半日ほど時間をかけていたので、それが無くなったことも大きいです。
安田さんが対応者とスケジュールを決めて運用
ーー安田さんが脆弱性の対応者のアサインとスケジュール管理をしているのですね。具体的にはどういうフローで運用しているのでしょうか?
安田:
Redmineに起票されるとアラートメールが私に飛んでくるので、それを見てチーム内に、対応の必要があるサーバーの一覧とアップデートするパッケージの一覧を共有しています。そのときに、対応者のアサインと対応スケジュールも決めて合わせて伝えています。脆弱性の対応が完了したら、Redmineのチケットが自動でクローズするので、それを確認するとすべての対応が終了する感じですね。例外的に緊急度が高いものや、影響範囲が大きいもの、対応に時間がかかるものは、チーム内の定例会議で細かく共有するようにしています。
ーー実際にVulsを入れてみて、良かったなと思うところと逆に悪いところはありますか?
安田:
良いところは余計な心配をしなくてよくなったということが大きいですね。サービス担当としては、脆弱性を探す時間が減ったことと、きちんと対策することで、脆弱性に気を取られないで良くなったという心理的なストレスが大きく軽減されたように思います。サービスの開発業務に専念できることが助かっていますね。
悪いところは、余計な心配をしなくてよくなった代わりに脆弱性を深く考えなくなってしまっているなと思います。先程、モチベーションの話が出ましたが、「Vulsを入れたから安心」ではなく、しっかりと脆弱性の事件やニュースを自分で情報収集しないと、脆弱性への意識自体が薄れてしまうことになってしまいます。そこは気をつけないといけないですね。
ーー担当者として、Vulsにこういう機能が欲しいなどはありますか?
安田:
私達が管理しているサーバーは約100台あるので、どのサーバーのどのパッケージにどの脆弱性があるのかを把握するのが大変です。そんなときに、Vulsで検知された結果を一覧できるVulsrepoを使っています。Vulsrepoを見れば、サーバー、パッケージ、脆弱性ごとにソートできるので。今は、それをエクスポートできる機能が欲しいですね。今は、Vulsrepoの画面からコピペしてエクセルに貼り付けているんです(笑)
サーバー名やパッケージ名でソートできるのでVulsrepoはよく使っている by安田さん
ーーえ?エクスポート機能がないんですか?
白濱:
ないですね。俺も欲しいくらい(笑)
一同:
爆笑
「エクスポート機能は俺も欲しいんだよ~」と苦笑する白濱さん
白濱:
エクスポート機能以外にも、Vulsrepoでは、数字として可視化している状況なのですが、ビジュアル的にももっとわかりやすくするためのダッシュボードを提供したいですね。
あとは、Vuls本体もバージョンアップしていきたいですね。今はサーバーにあるパッケージのログから脆弱性を検知しているのですが、もっと一般的な脆弱性情報から検知したりすることもできるようになります。検知の精度を上げていくという意味で、そこにもチャレンジしていきたいです。
【広報のあとがき】
Vulsにより脆弱性が迅速に見つかることによって、脆弱性検知に必要だった時間削減と脆弱性に対する心的ストレス改善に対して大きく効果が出ているようでした。ツールのさらなる改善と仕組みづくりでサービス担当者の手間を緩和していきたいと熱い想いを語ってくれました。サービス担当に寄り添いながら、より安心安全のサービスをともに作り上げていきたいという姿勢が感じられました。
NTTレゾナント 広報担当の小倉です。
心おどる未来へ向けて活躍する、NTTレゾナント社員を紹介する企画、第42回目をお届けします!
ソリューション事業部 法人営業部門 河村 悠香
■経歴:
2014年にNTTコミュニケーションズに入社
システム部にて、社内向けの音声・コミュニケーションシステムや、センタ向けシンクライアントシステムに関する業務に携わる
2017年10月にNTTレゾナントに異動
ソリューション事業部法人営業部門にて勤怠管理システムの開発・運用業務を担当
自分でいちから創りあげたサービスをお客さまに提案したい
Q.現在のお仕事内容、心がけていることを教えてください。
大企業向け勤怠管理システムの開発、運用に携わっています。要件定義の整理やユーザーへの説明会、サポート体制などユーザー対応をメインに担当しました。
仕事をする上で心がけていることは、丁寧にわかりやすく説明することです。お客さまによってシステムの把握状況も異なりますし、全員がシステムに精通しているとは限らないので、なるべくわかりやすい言葉で提案すること、お客さまに寄り添ってお話することを心がけています。
技術的な打ち合わせは特にいつも以上に丁寧にわかりやすく説明することを意識しています。日頃からお客様との信頼関係は大切にしています。
Q.仕事をする上で支えになっているモノ、コトはなんですか?
チームメンバーです!なんでも相談し合えるチームがとても心強いです。
---異動されてちょうど半年ですが、レゾナントの第一印象はどうでしたか?
レゾナントは自由で、やりたいことには年齢関係なくチャレンジできる会社だと思っていました。
異動してきてもそれは変わりません。それにプラスして、一人ひとりの高いスキルがチームとなって結束され、みんなで取り組んでいる会社だということを実感しています。
Q.これまでの業務で印象に残っていることはなんですか?
クライアントへの勤怠管理システムの導入説明会です。いろんな人から「わかりやすかった」と褒めてもらえたことが嬉しかったです。
実は新入社員のとき、同じように説明会を任され、1時間かけて説明するものを、20分で終わらせてしまったという伝説を残してしまいました・・・。
その時はたぶん、参加者の気持ちに寄り添えず一方的にしゃべってしまったんだと思います。最後に「ご質問はありますか?」と聞いてもシーン・・・となってしまいました。それから多くの経験を積んで、周りから良いコメントをもらえるようになりました。
---これまでの経歴で法人営業に携わったことはありますか?
以前は社内のシステム運用に携わっていたので自分で考え構築することがメインでした。今のようにお客さまに出向くことはレゾナントに異動してからなので、提案に対する想いや仕組みを理解してもらうことがすごく大事だと実感しています。
Q.これから実現したいこと、やってみたいことを教えてください
今は既存サービスを担当していますが、いつかは自分でいちから創りあげたシステムをお客さまに提案してみたいです。
Q.休日の過ごし方、趣味や今はまっているものを教えてください
冬はスキー、スノボです!
大学生になってから本格的にハマり、シーズン中は毎週末滑っています。普段のお休みは友達とごはん食べたり、ドライブしたり。あとは本を読むのも好きです。
---スキー、スノボの魅力はなんですか?
爽快感です!リフトに乗りながら友達とおしゃべりするのも楽しいです♪
-------
「心おどる仕事人」ではレゾナントビジョン“私たちは、心おどる未来をクリエイトするネット企業、日本代表となる。”を体現する社員を紹介しています。
NTTレゾナントでは、業務に役立つスキルを自らが選択して受講する「カフェテリア型研修」という制度があります。
カフェテリアで料理や飲み物を選ぶように、社員が自ら21企業700講座といった多くの研修プログラムから自由に選択して受講できる制度です。マネジメントやコーチング、プログラミングやデザインなど多岐に渡るコースを年間30万円まで好きに選ぶことができます。
今回は、実際にカフェテリア型研修制度を利用した藤本啓子さんに話を聞いてみました。
メディア事業部 ソーシャルサービス部門 藤本 啓子
2004年にNTT西日本に入社。
2010年7月よりNTTレゾナント勤務。gooサービスの運営や新規サービス開発、事業推進業務などを経て現在ターゲット編集担当。好きなものはビールといちご。
ーー現在のお仕事の内容を教えてください
藤本:
現在、メディア事業部にて特定ユーザー向けのメディアサービスを複数運営するターゲット編集チームに所属しています。ユーザー参加型のランキングサイト「gooランキング」や、gooとdmenuの膨大なログデータからトレンドを読み解く「goo+dランキング」の担当をしています。また、gooが20周年を迎えるにあたり開設された全社横断組織「ブランド戦略室」の一員でもあります。
ーー藤本さんは「カフェテリア型研修」でどういう研修を受講されたのですか?
藤本:
カフェテリア型研修は、必要だと思った研修があればすぐに参加できるので頻繁に使っています。最近では、UXブランディングに関する講座とインナー広報実践講座を受けました。ブランド戦略室では、gooのブランドを再定義することと、それを社内に浸透させていくことに取り組んでいます。マーケットの中でわれわれの大切な資産である「goo」をどう再定義するのかを自分たちで考えて実践しますが、新しいメソッドを学ぶことや、他社ではどういうアプローチをしているのかを講師の方、他の受講者の方とコミュニケーションすることなどを目的として受講しました。
ーー実際に受けてみていかがでしたか?
藤本:
ブランドを浸透させるにはそもそも何が大切か、「goo」として社内のみんなでどうそれを共有していくかという取り組みは私にとって初めてのことで、手探りで進めていました。研修参加により、知見を積んだ講師の方の知識から実践的なノウハウを吸収することもできました。また、他の受講者の方とも実践における課題点なども共有することができ、横のつながりもできました。同じような課題を持っている人とコミュニケーションして様々なケースに触れられたのはとってもよい経験でした。
ーー研修を受けた後、ブランド戦略室ではどのような活動を実施したのでしょうか?
藤本:
ブランド戦略室で再定義した「goo」の価値をサービスとして提供しユーザーのみなさまに認知していただくことが大切です。そのために、ブランドコンセプトである「gooがつくるしかないので( ー`дー´)キリッ」を実現している未来のサービスを映像化しました。さらに、社内で共通の認識として深めるために、この映像を社内向けに公開するイベントを開催しました。
このとき、私はファシリテーターを務めたのですが、「まずは全体像をしっかりと把握してもらう」「参加者のモチベーションを引き出せる設計にする」など、研修での学びを実践し、活発な議論と共有が生まれました。今振り返ってみると、これらを意識したことで、参加者の満足度や理解度に大きく影響があったと思いますね。
「カフェテリア型研修」制度の利用は全社で積極的に推奨してもらっているので、これからも新たなナレッジ獲得のために研修に参加したいと考えています。
ーーありがとうございました。
NTTレゾナントでは、「goo」を一緒に作るエンジニアやデザイナー、プロデューサーを募集中です!採用ページでは、実際のエンジニア社員へのユーザーインタビューや社内カルチャーを紹介していますので、ご興味があればぜひご覧ください。
