【グーグル スコット ペトリー氏】グーグルのセキュリティ対策--RSA Conference(2/2)

米グーグル エンタープライズセキュリティ ＆コンプライアンスディレクター スコット ペトリー氏

　2日目の基調講演の3人目は米グーグルのスコット ペトリー氏による「インターネットはワイルドウエストにあらず：Googleのセキュリティ対策」と題した講演を行った。

　ペトリー氏は冒頭、「Web2.0の技術で世界は大きく変わり続けている」と切り出した。企業では100MB程度に制限されているメールストレージが一般に広く公開されているフリーメールでは数GBにおよび、広く使われているツールの方が仕事で使うツールよりも優れているのだから、それを利用しようとするのは当然の流れ、としたうえで、さらに名刺の中にSkypeのアドレスを入れたり、iPhoneやBlackBerryといった機器を職場に持ち込むのも必要に応じたものであるとした。

　これらは人々が私生活と仕事のバランスをうまく図ろうとした結果であり、「境界線がなくなってきた」のだという。これは同時に、我々がリスクプロファイルの境界線がなくなってきている状況に立たされていることを意味している。

　また一方でアウトソーシングについても言及。製造企業から始まり、当初はBPOが中心だったが、昨今はソフトウェア開発のオフショアリングも行われ、直接会ったこともない人々が自社のソフトウェアの製品コードを書いている。こうなってくると、作ったデータに対する責任がどこまであるのか、さらに機密情報などを避けて、どうやって仕事をお願いするべきかを考えていかなければならないと警鐘を鳴らした。

　SaaSの流れも同様で、たとえばSalesForceを使った場合、企業の事業予測情報や顧客情報が誤って流出したり、見えないところで株式市場に悪用される可能性もある。リスクがますます大きくなってきているにも関わらず、それを把握できないブラックボックスの状況にあるという。


　ペトリー氏は「グーグルはネームバリューがある格好の標的」としたうえで、自社のセキュリティに対する考え方や対策の仕方について言及。まず、「何がもっとも重要かを確認する」必要があると語る。優先順位を捉え、完全なライフサイクル的アプローチを実施するわけである。

　もう少し具体的に見ていくと、グーグルでは大企業と同様の「Security Team」を採用。これはセキュリティの課題を解決するために積極的に動く専属チームである。他の企業と違うのはそれぞれが「実際にコードを書くことができる人たちである」点。セキュリティチームが書いたものをエンジニアチームが使わなければならない。

　ただし、グーグルはセキュアなソフトウェアということと、ユーザーが適切に利用できるということはまた別の問題として捉えており、ユーザーが適切に利用できるように「レールを作る」作業を行うのだという。レールの上はユーザーが走るなどして自助努力を促し、たとえばアラートなどを発することで適切な行動につながるように注意喚起している。

　さらにペトリー氏はグーグルの社員教育についても言及。Noogler（Googleに入って間もない新入社員のこと）がまず受ける「Trained on Security」という研修、それは総務部門であってもまずはセキュリティ関するセミナーを受けることを意味する。さらにセキュリティを確保するための開発手法もその時に教える。次にプログラマーはコードを書くが、成果物に対してなされるのが「Runs security unit test」。動作確認をはじめとしたセキュリティチェックを実施する。次に行うのが「Peer Review」。開発者が別の人間に自身のコードを解説し、必ず複数の目でチェックする体制を作る。最後が外部調査員による「External researchers」。

　外部調査員は専門の研究者コミュニティのことだが、さらに攻撃を受けた場合も単純にそれを「悪い奴だから封鎖しなければならないと考えるか、教訓とするべきか」で後の対応が変わってくるのだという。

　すなわち、仕掛けられた攻撃のログを取って、品質保証チームに投げるなどし、同じ攻撃を受けないような体制を構築することが重要なのである。外部研究者の力を借りる、穴があった場合に指摘してくれたことをありがたいと考えることで「好循環」していく。個人で投稿してくださった方や企業内個人、果ては競合企業まで、どのような立場であれセキュリティに関しては総力戦で立ち向かっていかなければならない見解を示しつつ、これはまさに業界の置かれている厳しい立場を暗喩しているのかもしれない。

　「世の中は変化し続けている」「新しいハードウェア、ソフトウェアだけでみていくだけでなく、プラクティスも見ていくべきだ」。