DMM.comの、一番深くておもしろいトコロ。

0→1精神はここにも宿る! DMMサービスを影で支える精鋭部隊、セキュリティ部

0→1精神はここにも宿る! DMMサービスを影で支える精鋭部隊、セキュリティ部

f:id:dmmlabotech:20180719114801j:plain

こんにちは! DMM inside編集部のマルシオです。

40を超える事業を展開するDMM.comグループ。日夜止まることなく動き続けるその巨大プラットフォームのユーザーは3000万人を超えます。価値あるサービスをユーザーに届けるのが我々の使命ですが、そのサービスは必ず「安心・安全」である必要があります。
そんな40を超えるサービスと3000万人のユーザーの安心・安全を守るのが、DMMセキュリティ部の存在です。

では、DMMのセキュリティ部とは具体的にどんな業務を行なっているのでしょうか? そのビジョンとミッションとは? “DMMを影で支える精鋭部隊”を率いる部長の山本さんと、セキュリティ技術マネージャの梁さんにお話しをうかがってきました!

f:id:dmmlabotech:20180702180116j:plain

山本裕介(やまもとゆうすけ)

セキュリティ部 部長
2016年11月入社。プログラマからスタートし、インフラ、情報システム、フロントSEなど、フルスタックエンジニアとしてキャリアを積む。BtoBのクラウドサービスの企画、設計、構築、運用に10年携わった後、BtoCサービスのインフラ運用に興味を持ち、DMMに入社。それまでにあった関連複数部署・チームの統合とセキュリティ部の立ち上げに携わる。

f:id:dmmlabotech:20180702180131j:plain

梁玄(やんひょん)

セキュリティ技術マネージャ
2018年2月入社。韓国でセキュリティエンジニアとして活躍した後、『NHN』を経て現職に。住民番号が汎用的に使用されるセキュリティ大国・韓国での経験を生かし、部長の山本を支える。韓国でトマト農家を営んでいた異色の経歴も。

複数あったセキュリティチームを統合

マルシオ似顔絵

セキュリティ部が現在の形で立ち上がったのは2017年6月だとうかがいました。立ち上げまでの背景と経緯を教えてください。

山本さん

もともとシステム本部に脆弱性診断を担当するセキュリティ部があり、それとは別にインフラ本部にもPCIDSS(Payment Card Industry Data Security Standard)を運用するセキュリティチームがあったんです。その頃自分はインフラ本部に所属していたんですが、前職で大規模障害の対応経験もあり、DMMではセキュリティインシデントにインフラが関わっていたため対応しました。その流れもあり、セキュリティ関連部門の統合時に新設する部門の部長として携わることになりました。

マルシオ似顔絵

山本さんは、クラウドサービスのインフラエンジニアを10年やった後にDMMに入社したんですよね。他にもさまざまな分野でエンジニアとしてキャリアを積んできたのかと思うのですが、いつからセキュリティエンジニアとして働いているんですか?

山本さん

セキュリティエンジニアとして働き始めたのはDMMからです。実は「セキュリティエンジニア」ってやることがとても幅広いんですね。僕のようにインフラからアプローチしたエンジニアもいれば、アプリケーションのプログラマ出身だった人もいる。たいていの会社には情報セキュリティ委員会が設置されているから、そういう経験から来る人もいる。そういった意味で、セキュリティエンジニアには確立されたキャリアパスのようなものはないですね。

ヤンさん

山本さんはセキュリティエンジニアとしてのキャリアはそう長くはないけれど、それまでの経験があるから深みや重みがあるんですよね。

セキュリティ部は事業に寄り添う存在

マルシオ似顔絵

社内の複数チームが統合されて組成されたセキュリティ部の、立ち上げ当初の課題やミッションは?

山本さん

正直、課題は山積みでした。最大の課題は、明確なセキュリティポリシーが存在していなかったこと。社外に対しても社内の各組織に対しても、「セキュリティ」というキーワードで統一したコンセプトを設けることからスタートしました。

マルシオ似顔絵

ポリシーをつくるって、すごく大きなテーマですよね。サービス数、売上、会員数はもちろん、そして組織自体もこれだけ大きくなるとなおさらかと思います。

山本さん

何かの事業があるからこそ必要になるのがセキュリティです。事業を創出し、日々運営する人たちがいるからこそ利益が生まれる。だからこそ、僕たちセキュリティ部は事業に寄り添う存在でなければいけない。セキュリティを厳しくすることはとても簡単です。でも、開発スピードが重要視されるDMMでそれをやってしまうと、スピード感が損なわれてしまう。僕らがDMMでやらなくちゃいけないセキュリティは、事業側がやりたいことを理解しつつ、いざという時のための用意をすること。馬の疾走を妨げることなく、危ないところではブレーキをかけてあげる。そんな存在になるべく、ポリシーを考えました。

マルシオ似顔絵

これだけたくさんのサービスに寄り添うのは決して容易ではありませんね。

山本さん

「やっちゃダメ!」と無下に否定せず、どうしてその判断に行き着いたのか開発者と話をしながら進めています。こちらから話を聞くだけでは足りないのであれば、事例やわかりやすい例え話を挙げてお互いに知識や情報を補完して、理解し合うことを損なわないようにしていますね。

マルシオ似顔絵

「セキュリティエンジニア」に傾聴力が求められる仕事だとは、正直思いも寄りませんでした……!

山本さん

僕は、インフラだ、システムだって、一つの組織の中で壁を作るのは好きじゃない。どこに所属していようが、僕らの目的は「サービスを提供する」ということ。だからこそ、セキュリティ部も連動性、協調性を持つべきだと考えています。

f:id:dmmlabotech:20180702235358j:plain

呼吸するようにセキュリティが達成される

山本さん

すべてのセキュリティ業務を、我々の部が1から10まで担わなければいけないとも思っていません。開発者にも非開発者にもセキュリティの知識が浸透し、業務の通常工程にセキュリティが組み込まれ達成される状態をつくることが、最終的なセキュリティ部のミッションだと思っています。息を吸って吐くようにセキュリティが達成されれば本望ですね。

マルシオ似顔絵

DMMには40以上のサービスがあり、扱う商材やビジネスモデルは多岐に渡ります。セキュリティもサービス内容に合わせた対応が必要ですよね?

山本さん

そういう意味では、自分も梁も他のメンバーも、前職までの経験がとても役に立っていますね。DMMには金融系のサービスもあればCtoCのようなサービスもあるけれど、各分野において絶対に外せないキーポイントはこれまでのさまざまな経験である程度理解できている。とはいえ、各サービスごとに個別最適したセキュリティポリシーを作る必要はなくて、最初に作らなきゃいけないのは、会社としてのポリシーであり、ベースとなるもの。

マルシオ似顔絵

これだけ箱が大きいと、土台となるポリシーの策定だけでも一大事ですね。

ヤンさん

どんなジャンルにも適用できる基本的なポリシーを作って、それをベースに事業の特性に合わせた要素をアタッチしていくんです。

山本さん

単一サービスや類似分野で展開するような他の会社のベースに比べて、DMMのポリシーが薄くなってしまうのは、仕方のないことだと思っています。そこを補うように、各サービスに個別最適したものを肉付けしていく。

ヤンさん

ある程度まで固まったら、各事業で実地調査をして、きちんと事業側が満足する基準ができているかも振り返ります。そのため、現在は利用しているOSのセキュリティ基準を作って詳細を各事業ごとに設定していくことをやっています。初めの一歩ですよね。

山本さん

DMMのセキュリティポリシーをつくって運用していくのは、単一サービスを扱う他社のそれとは異なります。DMMとしてのベースにAというサービス、Bというサービスの要素を肉付けしなければ、サービスごとに適用できるポリシーになりませんから。個別最適の部分は事業側にヒアリングを重ねないと見えてこない。例えば動画事業ならコンテンツにおけるデジタルウォーターマークをどうするべきか、スマートコントラクト事業なら当然ブロックチェーン技術を踏まえて考えなきゃいけない、FX事業なら金融系の厳重なセキュリティが求められる。サービスが複数あるのは確かに大変だけど、僕らにとっても刺激的なんです。普通ならジョブチェンジしなければ経験できないことを、DMMの社内だけで当事者として経験して理解できる。キャリア的に見ても、究極の時短かもしれません。

「将来のための創出」と「今の改善」

マルシオ似顔絵

具体的なお仕事内容を教えてください。

山本さん

「将来のために創出する」「今を改善する」という2つの軸を持って、セキュリティというキーワードに関するすべての業務に携わっています。セキュリティという観点で今の時点で足りていない部分は常に改善して、PDCAをまわしていかなきゃいけない。とは言え、いくら「今」を改善しても、本来あるべき姿がなければ意味がない。あるべき姿を創出するために、何が足りないのか、どういった手法で埋めるとセキュリティ要件を満たすことができるのかを、各分野ごとに整備していく必要がある。

ヤンさん

脆弱性診断は欠かせない業務ですが、これだけのサービス数で僕たちが依頼を受けてすべて事細かに対応するとスピード感を損なってしまうから、開発者にオフロードできるようツールを導入して効率化しているんです。

山本さん

そうすることで、僕らには将来のためのポリシーを考える時間ができるし、開発者にとっては依頼してから結果が出るまでのリードタイム短縮になる。さらに、開発者にとってもセキュリティを自分ごととして捉える機会にもなる。理解が深まるにつれて、開発者も息を吐くようにセキュリティを考える状況に少しずつ近付いていくんじゃないかと思っています。

マルシオ似顔絵

開発者、非開発者を問わず、セキュリティを自分ごととして捉えてもらう、意識を高めてもらうコツってありますか?

山本さん

今はほとんどの人がスマホにアプリをインストールして、いろいろなサービスを使っていますよね。セキュリティはそんな普段の生活にも還元することができるんです。僕らがセキュリティポリシーを社内教育の場で話す時は、訪れる脅威を体感してもらうために目の前でデモを見せたり、身近な例に例えたりします。それから、盗まれたものの区分けについても話をします。もしもパスワードを盗まれたとしたら、その「盗まれたもの」はどんなものなのか。生死に関わるようなものなのかそうではないのか。そういった知識があれば、個人情報が盗まれた時の影響も想像できる。身近な例で「危ない」と感じたことを、開発者はサービスの実装に活かせばいい。セキュリティ部はそのお手伝いをする部署だと思っています。

マルシオ似顔絵

私たちは、スマホはもちろん、クラウドサービスや無料Wi-Fiなどさまざまなサービスとともに暮らしていますよね。デバイスの進化や技術革新とともに、セキュリティへの取り組みも変わっていくのでしょうか?

ヤンさん

確かに技術は進歩し続けていますが、根幹の部分は変わらない。つまり、インターネットです。新しいデバイスもブロックチェーンのような新しい技術も、インターネットの上に成り立っている。まずは、その入口と出口になるインターネットを理解して安全対策を立てることが基本になります。

山本さん

もちろん、技術やデバイスの進歩に合わせて、セキュリティも考えていくべきです。新しい技術やデバイスには素晴らしい恩恵がたくさんあって、その半面、リスクも存在する。開発スピードを損なわず、安全を守りながらサービスに適用するにはどうするべきか。常日頃から新しい情報をキャッチアップして、自分で考えたうえで、開発現場に結論を下ろす使命があると思っています。

開発の上流工程からセキュリティを考える

マルシオ似顔絵

セキュリティ部ってもっと堅い部署かと思ってたのですが(失礼!)、ものすごくビジョナリーですね。そんなセキュリティ部が描く未来についても教えてください!

山本さん

僕は「シフトレフト」を推奨しているんです。例えば、サービスのアイディアが出たその段階でセキュリティ部と話をしてもらいたい。何も考えずにサービスの企画開発を進めて、後からセキュリティ対策を導入したり火消しコストを考えたりするのと、初期段階でセキュリティエッセンスが入っている状況とでは、障害発生の規模に大きな違いがある。ただ、開発者やビジネスサイドのメンバーがいつもセキュリティを考えるのはわからないことも多くて面倒だろうから、そのためにいるセキュリティ部をいつでも呼んでほしい。

ヤンさん

その時は呼ぶのが煩わしいかもしれないけど、何か起こったらその対処をするほうがよっぽど面倒ですから! 先々のことを考えると、一緒に進めたほうが楽なんです。要件定義の段階から入るだけでも全然違いますし、事業部内だけでは気がつけないことにも責任持って答えを出せますから。

マルシオ似顔絵

スクラム開発などサービス企画の上流工程から開発者が参画する昨今の開発手法の流れと同じことが言えますね。

山本さん

そうですね。開発者と同様、企画の段階から呼ばれるようになりたい。そうすることで問題発生を避けて、例え発生したとしても被害を最小限に抑えることができますから。

マルシオ似顔絵

セキュリティ部は鋭意規模拡大中なんですよね。どんな人材を求めますか?

山本さん

僕たちが求めているのは、今までセキュリティを運用してきた人ではなく、これからベースを作っていく、0→1を生み出すモチベーションのあるセキュリティエンジニアです。今いるメンバーもそうですが、バックグラウンドはさまざまでいい。これまでの経験を持って、セキュリティエンジニアとして挑戦したいという気概のある人を求めています。これだけサービスがあれば、積める経験も大きい。他の会社だと10年かかることも、DMMなら5年で習得できるかもしれない。刺激的な環境の中で新しい価値を生み出す。そのために何をすべきか自分で考えてアクションを取れる方に来ていただけたら、僕らはもっと加速できると思っています!

ヤンさん

僕が大事だと思っているのは、成果が出ない時も、我慢して粘り強くできる人。

山本さん

そうだね。どんな時でもセキュリティを楽しめる共通価値観。

マルシオ似顔絵

セキュリティの楽しさってなんですか?

山本さん

気付く、そして守る。ほとんどの人が意識しない状態で、普通の生活が守られている。「今日も平和!」っていう状態の気持ち良さかな。

ヤンさん

守りと攻め、どちらもあるんですよ! 僕は攻撃が成功するとすごく嬉しいですよ(笑)。攻撃することで守りにつながるシーンもある。

山本さん

ドSな人もいえればドMな人もいるからね(笑)。常に防御するスタイルのエンジニアもいるし。

ヤンさん

プログラマなら、難しいアルゴリズムを実装してバグなしに動かすことができたら、すごく気持ちがいいと思うんです。今日も守られた状態を保てた! っていう喜びは、おそらくその気持ちとすごく似ていますね。

山本さん

僕らからは何も生まれないし、僕らはともすればただのコストになってしまう。会社にとっては情報を守るための投資の部署になる。だからこそ、会社のために貢献したいという気持ちを持って常に寄り添うことがミッションだと思っている。自分でアクションを起こして、それが奏功して機能したり効果を発揮したりする喜び。それがセキュリティを楽しむっていうことかな。

f:id:dmmlabotech:20180702235418j:plain

ビジョナリーなセキュリティ

非開発者であるマルシオにとって、セキュリティ部もセキュリティエンジニアの存在も、実はとても縁遠いもので、正直インタビュー前は、堅苦しい印象を抱いていました。 でも、実際に山本さん、梁さんのお二人から出てくる言葉は堅苦しいどころかとてもわかりやすい表現ばかりで、それこそが「身近なものに例えてみんなにセキュリティを自分ごととして捉えてもらう」という日頃の意識の賜物なんだろうなと感じながらの取材になりました。セキュリティを通して描かれるビジョンは、日夜動き続ける、成長し続けるDMMを象徴しているかもしれません!

サービスの多様さに加え、新しい技術やトレンドの入れ替わりが目まぐるしいDMMだからこそ、他社では経験できないセキュリティエンジニアとしてのキャリアが待っています! 0→1と自走する精神を持ったセキュリティエンジニア志望の皆さん、興味があればぜひこちらからご応募お待ちしています!

dmm-corp.com