【星】　はい、承知しました。我々クックパッド株式会社は、「クックパッド」という日本最大のレシピ投稿・検索サービスを運営している会社です。「毎日の料理を楽しみにする」というミッションを掲げており、最近は新しい事業にも取り組んでいます。　2014年からはグローバル展開を本格化して、現在68カ国、23言語でサービスを展開しております。現在、国内では月間で約5,500万人の方に、海外では月間約3,000万人以上の方にサービスをご利用いただいています。
私は、インフラストラクチャー部の部長を務めております。。インフラストラクチャー部には3つのグループがあります。
　1つ目がSRE(Site Reliability Engineering) グループ、いわゆるインフラエンジニアですね。会社のサービスを動かすための、サーバーやネットワーク環境の運用、必要があれば開発、主にサーバーインフラの設計と構築と、実際の運用を行っている部署になっています。
　そして、2つ目がセキュリティグループ。こちらは、会社全体の情報セキュリティに関するあらゆることを担当する部署になっていまして、例えばサーバー自体や、サーバー上で動いているWebアプリケーションのセキュリティ対策、脆弱性の検査等も含めて実施しています。また、社内の様々なセキュリティに関する相談、例えば、サービスの実装やプライバシーに関する相談、「この情報は取得してもいいんだろうか」「どういうふうに取得すればいいんだろうか」「どういうふうに社内で扱えばいいのだろうか」といったような、システム以外の質問に対応しています。IT技術と関係ない情報の取り扱い方も含めて、情報セキュリティに関する全てを担当している部署ですね。
　3つ目がデータ基盤グループです。こちらは会社中のデータを1つの巨大なデータベースに集めて、サービスに活かすことができるようにしていくグループです。データの収集と活用というところを一手に担っています。
　以上3グループ合わせて、インフラストラクチャー部という部署を構成しており、私がその部署の部長をしています。私自身は元々インフラのエンジニアとセキュリティエンジニアをそれぞれ兼ねていました。主にサーバーインフラのセキュリティ対策や、新しいサービスをリリースする際にサービスのインフラの設計や構築、運用をしつつ、そのセキュリティ対策に取り組んでいました。
　もう1つ、コーポレートエンジニアリング部という部署の技術リードを兼務しています。こちらは、いわゆる社内システムを担当しています。例えば人事や会計に使われるシステムをはじめ、社員が使うPCやネットワーク環境の整備など、全社員がITで生産性を最大限高めて仕事ができるようにするという役割を持っています。

【星】　そうですね、グローバル展開は、会社としても今かなり注力をして進めているところでして、イギリスのブリストルという町にグローバルヘッドクォーターを置いて、かつ、世界中にオフィスをいくつか置いています。例えばインドネシアやレバノン、スペイン、ハンガリー、ロシアなどがそれにあたります。

【星】　クックパッドと情報セキュリティという言葉はヒモづきにくいと思います。「クックパッドのような、レシピサービスくらいしか目立つものがないような会社に、情報セキュリティがなぜ必要なのか？」という声をよくいただきます。実際には、2010年という上場後のタイミングで私はアルバイトとして入社したのですが、それ以前から情報セキュリティに関しては継続して取り組んできました。我々には情報セキュリティに取り組む意義があると考えています。我々のサービスは、突き詰めていくとユーザーさんから情報を預けていただいて初めて成り立つビジネスなんです。レシピデータを始め、大切なお写真や料理の記録など、お預かりしているデータは非常にたくさんあります。なぜそのデータを預けていただけるのかというと、我々はユーザーさんから我々のサービスを信頼いただいている為だと思っています。その信頼という点からすると、レシピデータも個人情報も、同じ守るべきものだと思っています。そのような、クックパッドが情報セキュリティに取り組む意味、という話を最初にお話ししたいと思っています。
情報セキュリティに関する事故は、ひとたび起きると規模の大小に関わらず、たちまち信頼は無くなってしまいます。例えば、我々のWebサービスから1,000人の情報が流出したとしても、または、社内で誰かが書類等を紛失したとしても、そういう事故が起きた時に「クックパッドは情報をきちんと扱うことのできない会社だ」と見られる点においては、そのインパクトや重要性はどちらの場合でもそれほど変わらないと考えています。特に我々のサービスのメインユーザーの方々は、インターネットサービスをディープに使っているわけではない方が多いです。そういった方々がインターネットサービスにデータを預けてくださるというのは、かなり高いハードルがあると思っています。そのような壁を乗り越えた信頼関係の上に我々のサービスはあるという認識でいます。どんなに小さい事故でも、築いてきた信頼を崩したくないという思いを非常に持っているので、情報セキュリティに全社的にずっと取り組んでいます。

【星】　そうですね、率直に言うと「情報セキュリティってこういうものだよね」というキャンペーンを張ってもあまり意味はないかなと思っています。我々が普段受ける相談などの中でちゃんとセキュリティに対する意思や姿勢を見せていくのが大事なのではと思っています。例えば ISMS のサーベイランス審査があるタイミングで、皆に「改めてセキュリティルールを見直してみませんか？」ということはアナウンスしているのですが、社内としてはそのくらいです。しかし、全社的に情報セキュリティに取り組んでいて、かつ情報セキュリティに取り組んでいる人たちが社内にいて、そこに相談すればよいということはかなり強く伝わっているので、些細な問題でも社内のどのポジションからでも、相談をしてくれるような体制には、現在なっています。

【星】　私を入れて3名です。

【星】　はい、クックパッドはISMSの認証を取得していて、それを1つの軸として体制づくりをしています。経営陣の1人がCISOになり、その下にセキュリティリーダーという役割を置いています。そのリーダーがCISOの補佐なのですが、現在私が担当しております。そして、その下に情報セキュリティ委員会を設置して、そこにセキュリティグループだけではなく、様々な部署のメンバーに集まってもらい、部署横断で話をする機会をつくっています。

【星】　そうですね、具体的には、「こういう新しいサービスを考えているが、どういう情報を扱ったらいいか？」という話も含め、オペレーションに関して等、様々な相談を受けながら、何か足りないものがあれば、その対策を話し合ったり、自分たちからその問題を見つけていきながら、会社の中で回しております。そのように相談できる機会を隔週で設けています。

【星】　意識しないといけないこととして、ユーザビリティとセキュリティというのは、トレードオフではないということがあります。要はセキュアで便利な状態は必ず達成できると思っています。それは、技術投資によってそうなるかもしれないし、考え方を変えることによってそうなるかもしれません。ですので、トレードオフというような考え方には陥らないように気を付けているところはあります。例えば、あるサービスで「こういう情報を取得して分析したいんだけれど」という時に「本当にその情報が必要なのか」「必要なのであれば具体的な要件まで見てみて、どうやったら分析しやすくて安全な状態になるか」というように考えるようにしています。

【星】そうですね、特に口に出してはいないのですが、我々のセキュリティ部門、もっと言うとセキュリティ体制は、基本的にはビジネスのためにあると思っています。理想を言えば、ビジネス側にセキュリティの話を気にしなくても進めていけるような体制を作るというところがあります。セキュリティの問題はわりと些細な問題も多いのですが、つまずくと信用問題になることも結構あります。そのような問題に足を引っ張られないように、ビジネスと一緒に走りながらつまずかないようにするという考え方が、セキュリティ対策に関わるメンバーには広く根付いていると思います。もちろん最終的にどのような判断をすべきかということは私のほうで見たりしながらも、何かすごい仕組みがあるというよりは、やはりサービスのためにセキュリティがあるんだよという基本的な考え方を、組織の中で浸透させるということによって、セキュリティを担保しています。

【星】　実際の対策について、提供しているサービスと社内IT、技術的に必要な要素が少し違う対策をそれぞれやっています。そのお話をさせていただきます。
　我々はWebサービスは全部 Amazon Web Services (AWS) で動かしていまして、1つはそのオペレーションのセキュリティ対策について。もう1つは、社内システムのセキュリティ対策としてて、どういうことをしているのか、もう少し具体的なお話ができたらいいなと思っています。ソフトウェアやその機器の設置に関しても、技術的にどういう対策をしているのかということに関しても、それぞれお話しできればと思っています。

【星】　日本以外の組織に関しても、今は日本のセキュリティ組織があわせて見ています。グローバルになってくるというよりは、色々な国に人が散らばっているというイメージが近いと思います。ですので、人が色々国にいて、その人たちがどこでも働けるようにするというところが、グローバル展開を始めて一番セキュリティ対策で変わったところかなと思っています。それと同時に、国内でも変化が起きていて、各々が生産性を一番高められるような方法で、時間とか場所とかを自分で決めながら働く、というような流れに会社や社会としてもシフトしてきているので、それに沿ったセキュリティ対策を進めています。

【星】　そうですね、サービスのためであって会社のためであって、みんなのためであるというところが一番大きいですね。サービス自体が利用者の方にとって安全に気兼ねなく使うことができるし、サービスを開発する側からも、特に心配をすることなく開発を前に進めることができる、という状態を理想にしながら進んでいます。

【星】　すごく変わったというよりは、加速したという方が正確かもしれません。同じオフィスで一緒に仕事をするというところから、徐々に海外に行く社員もいるし、色々な所にクックパッドに関わる人がいるという状態が当たり前の状態になってきました。またインターネット企業なので、どこでも働けたほうがいいよね、という話もあり、その流れがグローバル展開で加速したというのはあります。
　他にグローバル展開に関して大きく変わったことと言えば、攻撃にさらされる機会が増えたというのもあります。それはサービス展開する国がすごく増えてきて、目に留まることも多くなってきたからかもしれないですが。

【星】　そうですね。現在の我々は、皆さんが持つイメージ通り、レシピサービスが一番大きいので、攻撃をするような人から見るとそれほど旨味がある情報はないと思われるかもしれませんが、実際にはそんなことはありません。例えば、ある人が何を検索したのかというデータ、つまり食べるものの情報自体がその人とすごく深く結びついているんですね。検索データを1つとっても、病歴に紐付くような情報もあります。個人に紐付けられる情報全てが大事になる時代になっているので、レシピサービスだからといって、セキュリティ対策は不要という単純な話ではないとは思っています。

【星】　私は新卒で今の会社に入ったので、例えばセキュリティマネジメントをやっていた先輩から学ぶ、ということはありませんでした。。完全に1から自分で作っていくというところがありました。そのため、キャッチアップの方法に関しては、他の会社のセキュリティに取り組んでいるエンジニアの方などと交流を持つことが大きかったです。そういった方から、うちの会社ではどういう対策をしているか、どのぐらいやっているかという話を聞いたりしています。それ以外は自分で考えて実践して、うまくいったか、いっていないかを検証しながらまた実践する、の繰り返しですね。

【星】　苦労している点としては、対策が、バランスを欠いていないかを意識する点ですね。要は、セキュアで便利な状態というものを保てているかというのをずっと問い続けるというところがあります。また、社員が増え、会社の規模も大きくなり、グローバル化もあり、色々な事業が出てきている中で、幅広いことに気を留めて、それらを処理し、改善し、カバーするというのはかなり大変なことです。やるべきこと、やりたいことはすごく多くて、それを自分の中で優先順位をつけながら回していくというのが結構大変ですね。

【星】　やりがいはたくさんあるんですけれども、やはり自分がお手伝いした仕事とか業務が、自分が提案したような対策、あるいはオペレーションでうまく回っていたりだとか、何かしらの成果が上がっているときというのが1番楽しいですね。

【星】　セキュリティ対策に終わりはない、かつ、環境やビジネスに合わせて常に変化し続けていくものだと思っています。ですので、セキュリティ対策を適切に進めていくためには技術もそうだし、取り組みも含めて引き出しを増やしておくことが大事です。そういった意味で、他社の同じようなことに取り組まれている皆さんと交流するのは自分のためでもあるし、会社のためにはすごく大事ではないかと思います。 　例えば、自社がどういうふうな取り組みをしているかは、なかなかセキュリティという分野だけに話しづらいところもあるんですけれども、ただ、自分から情報を出さないと情報は集まってこないですし、安心して話せる環境でなければ絶対外に出せないような話を皆さんお持ちだと思います。当日、具体的にどの施策がどれだけ役に立ったかというのをどこまでお話しできるか分からないですが、僕がWebサービス企業でそのセキュリティに取り組んできたことの意味や、実際の対策、クラウドをかなり使っているので、そのクラウドを前提とした新しい対策に関してお話をしつつ、参加される皆さんはどのようにに思われているのか、どのような所に課題をお持ちなのかをお話しできたらいいなと思っています。