サービスシステム開発部システム開発第1Gr 古賀康明様 杉野真之様
左:EC事業部 カラーミーショップグループ プロダクトチーム 坂東昌哉様
右:取締役CTO セキュリティ対策室長 栗林健太郎様
主な業務
ハンドメイドマーケット、レンタルサーバー、ネットショップ運営サービスなど個人向けインターネットサービスを提供
サービスの規模
ハンドメイドマーケット、オンラインショップ作成サービスは国内最大級
脆弱性検査での課題
多層防御の考え方のもと、開発に近い位置での脆弱性検査の必要性

GMOペパボ株式会社の前身となる有限会社paperboy&co.が設立されたのは2003年。当時すでにサービスを開始していた「ロリポップ!レンタルサーバー」は個人向けホスティング事業の草分け的存在。その後事業を拡大し、オンラインショップ作成サービス「カラーミーショップ」や、ハンドメイドマーケット「minne」、今ではオリジナルグッズ作成・販売サービス「SUZURI」など、数多くの個人向けインターネットサービスを提供している。それら全てのサービスに共通しているテーマは“個人にインターネットで表現の場を提供する”こと。いろいろな人々にインターネットで可能性を見つけてもらいたいという一貫したミッションのもと、技術によって生産性を高めることで品質が高くユニークなサービスを低価格で提供することを可能にしている。

2018年の情報流出事故からの教訓とGMOペパボにおけるVAddyの位置づけ

(栗林様)
もともとホスティング事業からスタートしたということもあり、セキュリティ対策についてはシビアにやってきました。ホスティング事業はサーバーそのものが商品。お客様には、我々の技術の粋を尽くして高度に設計・設定を行ったサーバーそのものを、プロダクトとしてご利用いただいています。そのため、社内にセキュリティ対策チームを設けて、例えばOSのカーネル部分といった技術的に深いところから、アプリケーションのセキュリティ強化まで、幅広く対策を行ってきました。

しかしながら、それでも至らなかったことがあり、結果として今年の頭(2018年1月)にカラーミーショップにおいて情報流出事故を起こしてしまい、お客様には大変なご迷惑をおかけしました。

事故の経緯やその後の対応についてはご案内させていただいた通りなのですが、これを契機に社内の体制も含めてセキュリティに対する取り組みを一層強化しています。脆弱性に対応するフローやセキュアコーディングのガイドライン整備などを、あらためて行いました。

取締役CTO セキュリティ対策室長 栗林健太郎様

たとえば私が当時部長を務めていた技術部の中にあった「セキュリティ対策チーム」を「セキュリティ対策室」という独立した組織に格上げし、私が室長として率いています。ここでは全社的なセキュリティ対策のゴール設定や進捗管理、情報収集などの陣頭指揮をとります。また、セキュリティ対策室には実際に脆弱性診断を行うエンジニアも在籍しており、さらには定期的な外部の脆弱性診断も行っているところです。

(坂東様)
事故直後、私たちはセキュリティホールを塞ぐための開発業務に専念していましたが、その一方で、開発現場でのセキュリティ対策をより強化しなくてはいけないという考えもありました。

開発担当が事故対応で手一杯になっている中、他の事業部の人がVAddyを見つけてきてくれました。カラーミーショップは10年以上提供しているサービスなので、弊社には過去にカラーミーショップに関わったことがあるパートナーがたくさんいます。開発担当がセキュリティ強化のためのツール選定にまで手が回らない状況だったので、社内の多くのパートナーが自分ごとのように協力してくれたので非常に助かりました。

EC事業部 カラーミーショップグループ プロダクトチーム 坂東昌哉様

もちろん、今回の事故の直後には大手の診断会社による手動の脆弱性診断もお願いしました。けれども一回診断したから大丈夫というわけではないですし、それと並行して開発部門でも同じことを繰り返さないために、継続的に脆弱性検査を回す仕組みの構築を考えました。いくつか他のツールも検討しましたが、早い段階で継続的な脆弱性検査フローを確立できるという観点でVAddyを選びました。

(栗林様)
大切なのは「多層防御」という考え方だと思います。開発者は常にアップデートされたセキュアコーディングの知識をもっていて、開発の段階でセキュアな開発を行う。その次の段階はセキュリティーチームが設けたチェックポイントを満たしているかのレビューを行う。さらにその後にVAddyで定期的に検査する。最後に外部の診断会社に脆弱性診断を行うといったイメージです。

この中のどれか一つだけ、たとえばVAddyだけで全てが上手く行くとは思っていません。内部的な情報・スキルのアップデートや共有、そして外部からの診断、そうしたものを幾層にも重ねていく必要があるというのが、今回の事故の教訓です。

今までもセキュリティ対策はやっていましたが、必ずしも十分ではありませんでした。きちんとした枠組みを作り「何層にもそして継続的に」これが非常に大切だと考えており、そうした体制を作っています。

現時点ではVAddyを導入しているのはカラーミーショップを担当しているEC事業部だけですが、社内勉強会などで他事業部に対してもVAddyを含めた多層防御の考え方を広める活動をしています。今のところこの分野に関してはカラーミーショップが先行していますので。

他のツールとの比較

(坂東様)
事故直後はOWASP ZAPも候補に上がりました。我々の検証環境はBASIC認証+フォームベース認証という構成ですが、慌ただしい状況の中で我々の環境に合わせてOWASP ZAPをセットアップするための人員がカラーミーショップ側には足りず、いったんはOWASP ZAPの導入を見送りましたが、最近は数ヶ月かけてあらためてOWASP ZAPの機能を学んでいるところです。

OWASP ZAPのオートクロール機能はあまり利用していません。オートクロールだとどうしても検知できないURLが出てきてしまったためです。我々のアプリケーションにおいては、仕様に精通している人間が手動でクロールを作ったほうが検知効率が良いという判断を今のところしています。

ちなみに手動診断を依頼した画面を後にVAddyで検査したところ脆弱性が発見されたケースがありました。診断会社に依頼する際は細かい挙動などもお伝えするのですが、例えばログインするアカウントによって表示されるダイアログが異なるような箇所だったので、依頼時に伝え漏れていたのかもしれません。そういう意味でも、アプリケーションの仕様を隅々まで把握している人間が手動でクロールを作成したほうが良いケースもあります。

DevSecOpsを目指して

(栗林様)
CIに関しては全社でDroneを使っていて、ユニットテストからE2Eテストまで自動化していますが、まだセキュリティテストまではそのプロセスに組み込めていないのが今後の課題です。そもそもなぜCI/CDプロセスにセキュリティテストを組み込まなければならないかと言うと、従来のようにセキュリティテストが開発プロセスの最後にQAチームによって実行されるものだと、どうしても手戻りが発生してしまったり、リリースを自動化しようというモチベーションに繋がりにくいのです。

取締役CTO セキュリティ対策室長 栗林健太郎様

そうではなく、開発の中でセキュアなコードを生み出すようなフローにしなくてはいけません。

たとえば10年以上前には、テストを書く文化はそれほど普及していなかったと思いますが、いまはテストを書くことが普通になっています。さらには、最後にテストを書くのではなく、TDDのように品質を作り込みながらコードを書いていくというのが良いプラクティスとされていますし、我々も実践しています。それと同じように、セキュリティも早い段階からフィードバックを受けるフローにしていきたい。

今はQA担当がVAddyで検査していますが、それよりももっと早い段階でやれるようにしたいですね。担当者がセキュリティ専業でやるのではなく、全員が普通にやるようにしたいと思っています。プログラマーがテストを書きながら開発を行うようにセキュリティの担保も開発と同時にやれるようにしたいと考えています。

【参考】クラスメソッド株式会社:突撃!隣のDevOps
https://dev.classmethod.jp/devops/dev-ops-gmo-pepabo/

Easy VAddy Proxy Crawlingについて

坂東氏によるFirefoxアドオン「Easy VAddy Proxy Crawling」が公開されています。
これはVAddyのクロールデータ(テストシナリオ)作成をより簡単にするものです。

EC事業部 カラーミーショップグループ プロダクトチーム 坂東昌哉様

(坂東様)
弊社ではこのような独自ツールを作成することはよくあります。足りないものは作ってしまえという文化です。私たちのQAチームのテスターさんはCSから来る人も多いので、極力オペレーションを簡単にしようという思いから作りました。
若干不具合があるのでプルリクエストをお待ちしています(笑)

「Easy VAddy Proxy Crawling」
https://addons.mozilla.org/ja/firefox/addon/easy-vaddy-proxy-crawling/

GMOペパボガーディアン株式会社について

※2018年の9月に新会社「GMOペパボガーディアン株式会社」の設立が発表されました。
https://pepabo.com/news/press/201808271805
同社の取締役を兼務される栗林氏に新会社設立の狙いをお聞きしました。

(栗林様)
GMOペパボガーディアンの設立はインシデントがきっかけではありますが、それだけが理由ではありません。過去の経験から社内にはセキュリティ対策の知見が溜まっているものの、一般的にセキュリティ対策は「コスト」と捉えられがちなため、積極的にセキュリティ投資を拡大していこうという意識にはなりにくい。そうした意識を変えて行くには「攻めのセキュリティ」にすることが必要と考えました。一番分かりやすいのが事業化です。今までの知見を事業化してセキュリティによって売上が立つ状態になれば、今まで以上にセキュリティに力を入れることができますし、結果としてGMOペパボのセキュリティも強固になるというわけです。世の中に価値を還元しつつ、かつ自分たちも安全になるという好循環を作り出したいと考えています。


GMOペパボ株式会社(英文表記:GMO Pepabo, Inc.)

設立日
2003年1月10日
代表取締役社長
佐藤 健太郎
本社 所在地
〒150-8512 東京都渋谷区桜丘町26番1号セルリアンタワー
証券コード
3633(JASDAQスタンダード)

他の導入事例を見る