• SecurityTIMES
  • 特集
  • 【CTO渡辺が行く!】第1弾 NHNテコラス株式会社

【CTO渡辺が行く!】第1弾 NHNテコラス株式会社

2017年11月1日(水) 特集

<ちょい読み>
・ここ数年でレンタルサーバーやVPSを使うユーザーのセキュリティ意識が変化してきた
・誤認している人も多いが、実はユーザーとベンダーとでセキュリティの責任範囲が異なる
・低価格サーバーだからといってセキュリティ要件がゆるくなるわけではなく、よりセキュアなサーバーが選ばれている


こんにちは、SecurityTIMES編集部です。
サイバーセキュリティクラウドのCTOが各企業の技術・セキュリティ担当者と対談する「CTO 渡辺洋司が行く!」今回は、マネージドサービスをメインに展開する「NHNテコラス株式会社(以下NHNテコラス)」に行ってまいりました。

NHNテコラス株式会社について

渡辺:本日はよろしくお願いします!では最初にお二方の所属されている部署や担当されている役割を教えてください。
小柳津:はい。NHNテコラスという企業はマネージドサービスを柱に据えていまして、物理サーバーの提供とその運用というのをメインに行っています。そのなかでも私が所属するSME事業部では中小企業向けのホスティングサービスの販売やSSLなどの周辺商品の販売を行っています。
担当業務としましては、以前から「エクスクラウド」という名称で、レンタルサーバーからVPSといったところを主な領域として展開しておりまして、サービスの運営責任者という役割です。直近では2017年7月末にCloudGarage(クラウドガレージ)というクラウドサービスをリリースしていますが、こちらでは企画やマーケティングを担当しております。
平賀:私も小柳津と同じ部門に所属してまして、主にパートナー様の支援としてさまざまなサポート活動を担当しています。

渡辺:御社にはテコラスセキュリティという事業部もありますが、セキュリティ関連の内容は全部そちらで対応しているのでしょうか?
小柳津:セキュリティ事業部では、「TECHORUS SECURITY」ブランドにてマネージドセキュリティサービス(MSS)を行っております。同サービスではセキュリティベンダー14社29製品を扱い、セキュリティ監視センター(SOC)を利用する24時間体制で高度なサイバー攻撃などの監視と有事の際の対応支援にあたっています。
ホスティング部門におけるセキュリティの話でいうと、セキュリティ事業部にお任せしているわけではありません。もちろん情報の共有などは行いますが、ホスティングのセキュリティはSME事業部に内包しています。

左奥:NHNテコラス株式会社 データホテル事業本部 SME事業部 企画マーケティングチーム 副事業部長 小柳津 純様
左手前:NHNテコラス株式会社 データホテル事業部 SME事業部 企画マーケティングチーム 平賀 真琴様
右:株式会社サイバーセキュリティクラウド 取締役CTO 渡辺 洋司

セキュリティニーズの変化と責任範囲

渡辺:ありがとうございます。ではさっそくセキュリティのことでいくつか聞かせてください。サイバー攻撃の数は増加の一途でレンタルサーバーもその攻撃対象になるわけですが、レンタルサーバーやVPSにおけるセキュリティニーズの変化で感じていることはありますか?
小柳津:そうですね。ユーザー様の変化で言いますと、メールセキュリティの要望だけでなくWebセキュリティの要望が増えているということがあります。以前からスパムメール対策やウイルスチェックといったニーズは多くありますが、最近ではWeb系のセキュリティに関心を寄せるお客様が多くなってきたと感じています。お客様からWebサイトの改ざんやメールの踏み台にされてしまっているという相談もいただくようになりました。
実際にエクスクラウドにWebセキュリティオプションとしてWAF(Web Application Firewall)を搭載したのもそういったニーズがあるからです。
レンタルサーバーは基本的に私たちがサーバーを管理しています。OSのパッチが出た際の対応などは全部弊社でやりますので、お客様はそんなに意識をされなくてもOSやミドルウェアの部分は手放しでも運営することができます。
ただ、VPSは基本的にはお客様で自由にアプリケーションを入れたりミドルウェアのバージョンを変更したりできますので、その点は責任を持っていただく必要があります。
SSHのパスワード管理が甘いがために乗っ取られてしまったというケースもありますが、こうした場合は弊社でもあまりやりようがなかったりしますので、苦慮しているところでもあります。
VPSに関してはOS含めてお客さまの管理になってきますので、そういった理由からもメールのセキュリティだけじゃ駄目だなっていうご意見をいただくケースが増えていると思います。

渡辺:ちょうど言及いただいたところですが、ユーザー様によっては、セキュリティ対策は全て提供側がやってくれていると思う方も多いかと思いますが、実際はどうなんでしょうか?
小柳津:そうですね、やはりそう思われているお客様もいらっしゃいます。レンタルサーバーに関しては申し上げた通り、サーバーのハードウェア、OSやミドルウェアまでを私たちで管理させていただいています。サービスとして提供しているわけではありませんが、細かいソフトウェアのセキュリティに関しても対応していくスタンスでいます。あと、例えば乗っ取られたお客様がいらっしゃって、メールを大量に配信してしまっている場合なんかにも、弊社側で止めてお客様に改善策を促すといったようなこともサポートの一環として行っています。
一方でVPSに関しては、基本的にはお客様の責任範囲で対応いただいています。とは言っても、例えばOSに起因するものやミドルウェアでも、緊急性の高いものに関しては弊社で全社的に一斉メンテナンスをかけることもあります。約款上みたいな話しをすると対応しなくても問題ない部分ではあるんですけど、やはり被害が拡大するのは避けたいですので、ベストプラクティスでお手伝いをするということです。
平賀:毎年サイバー攻撃は前年比2倍のペースで増えてますので、お客様でも意識せざるを得なくなったというのはあります。ベンダー側の観点でもセキュリティを重視する声は増えています。
SME事業部のお客様は、基本的に開発会社や広告代理店が多いのですが、今まではセキュリティに関してお互いに多くの知見を持っていなかったこともあり、どこか宙ぶらりんのまま稼働しているケースもありました。
以前に他社のあるECサイト脆弱性が原因となってクレジットカード情報が漏洩した事件で、ショップ側が開発会社に損害賠償請求の裁判を起こし、ショップ側が勝訴したということがありました。その後くらいから制作会社や開発会社からのお問い合わせに変化があり、具体的にセキュリティという単語をよく聞くようになったと感じています。
今やセキュリティに対する反響は非常に多いので、引き続き力を入れていこうといったところです。

WAF搭載やDDoS対策を施したセキュアなサーバーが選ばれる

渡辺:実際にどのようなサイバー攻撃を観測することが多いのでしょうか?
小柳津:基本的な攻撃は日常的にきていますが、データセンターですので、やはりDDoS攻撃もあって手を焼いています。

渡辺:なるほど。サイバー攻撃に対する具体的な要件もあったりするんですか?
小柳津:パートナー様からは具体的に「DDoS対応」ということで要件に入っていることもありますが、DDoS対策自体は個別で提供しているわけではなく、有人のデータ監視で対応しています。
ホスティングサービスもそれこそ10年前だったら2万円、3万円とかかっていたものが、今では1000円、2000円で同等以上の機能を使うことができます。ただ、安価になったから要件がゆるくなることはありません。要するに、低価格のサーバーだからセキュリティは不要でいいかといえば、そうはならないんですね。
かといって、ベンダーからすれば低価格で提供するサーバーに何十万〜数百万かかる機材を入れてしまうとコストとのバランスがとれません。そういった意味から、提供しているものと費用のバランスがとれるセキュリティサービスを取り入れていくことが大切だと感じています。

渡辺:以前はコストをかけてまでセキュリティ対策する必要あるの?みたいな時代もあったと思いますが、今は異なるということですね。
小柳津:そうですね。ただ、インフラコストに比べてセキュリティ対策コストは5倍!みたいなことだと話は変わってきます。やはりバランスですね。弊社ではそのバランスがとれているので最初から要件に入ってくることが多いです。
平賀:ホスティングの場合はセキュリティ商品を単体で販売しているのではなくて、あくまでサーバーのオプションです。そこの見え方がセキュリティを買うっていうものではなくて、サーバーを選定するならセキュアなサーバーにしようという選択になっているのだと思います。

渡辺:たしかにセキュリティ単体製品の導入となると運用も含めてハードルが上がりますね。 NHNテコラスではセキュリティにかなり力を入れていますが、それは明確な強みになっているんでしょうか?
小柳津:明確に差別化の要因になっていると思います。特にWordPress専用サーバーである「WordPressホスティング」では顕著です。WordPressは非常に手軽で便利ですが、プラグインの脆弱性はどこからでも出てきますので、それを全て開発会社やエンドユーザーで対応するのはほぼ不可能でしょう。
それに、納品した後は開発会社が去ってしまうケースもよくあります。そのときにWAFを搭載しているから安心ですよ!と言えることは、開発会社からしても手離れが良く重宝しているというお声をいただいています。
平賀:過去にWordPressのバージョン4.7および4.7.1で、「REST API」経由でコンテンツの操作が可能になってしまう脆弱性がありましたが、そのときも弊社では1件も改ざん被害がなかったことは実績としては大きいですね。

渡辺:セキュリティ要件の中に具体的に「WAF」として入ってくるんでしょうか?
平賀:いえ、まだざっくりですね。やっぱりエンドユーザーもそこまで意識はされてないと思いますし、そもそもWAFという存在を知らない方もいらっしゃると思います。ざっくりとセキュリティに注意した提案をお願いしますっていう形の要件をいただきますね。
小柳津:ただWordPressの界隈でいえばWAFの存在も認知されてきていますね。例えば地方でWordBenchという勉強会に呼ばれて情報交換させていただくこともあるのですが、いろいろ対策するよりは、安価なWAF対策をしておこうといったような声は耳にするようになってきました。

渡辺:なるほど、だんだんとニーズも増えているんですね。何か今後の機能追加や抱えている課題があれば教えてください。
小柳津:それはいっぱいありますね 笑
渡辺:ちょっとご紹介いただけないでしょうか?
小柳津:例えばセキュリティ対策でいえば脆弱性診断ですね。私たちのお客様である開発会社からも診断を気軽に受けたいという声をいただいています。けど脆弱性診断をやろうと思ったらかなりのコストが発生します。弊社でも取り扱いはあるのですが、実際にお値段を提示してみると見送ってしまうという企業さんもおりますので、そこはもう少し廉価で提供できる工夫が必要と思っています。
平賀:ローンチ前なので具体的なことは申し上げられないのですが、機能追加としては、サーバーのスケールアップですとか、ユーザー様がサーバー構築するうえで納期を短縮できたりと、お手間を減らせるようなツールを中心に追加していこうと思っています。月に数件ぐらいずつは細かな機能改善をお出しできると思っています。

セキュリティの意識改革は特定のセクションだけでは進まない

渡辺:ホスティングにおいてもセキュリティニーズが高まっているとお話しいただきましたが、例えばNHNテコラスで社内向けや外向けの啓蒙活動で取り組んでいることはありますか?
平賀:対外的にはセミナーが多いです。セキュリティ商材がどんどん入ってきますので、その勉強会の一環として制作会社や開発会社などのパートナー様へ向けた勉強会や共有会を開催しています。登壇の機会をいただいた際にもセキュリティの話を組み込むようにしています。サードパーティとしてセキュリティサービスを扱う際にはセキュリティベンダーにヒアリングして情報を提供いただいくこともありますね。
小柳津:社内では、新たな脆弱性のニュースが出た場合にはセキュリティ担当部門から全社にメールがきたり、社内ポータルサイトに説明とともに注意喚起がなされるようになっています。その他にもSME事業部とセキュリティ事業部で情報共有といった機会を設けるようにしています。

渡辺:御社のように啓蒙活動を行っている企業もあるなかで、例えば経産省が出しているサイバーセキュリティ経営ガイドラインのなかでは、経営層のセキュリティに対する意識はグローバルと比べて圧倒的に低い数字になっています。
小柳津:我々はホスティング事業を展開していることもあって上層部もセキュリティに関する知見は豊富ですが、これが違う分野となると下地の知識はそれほどないと思いますし、CSIRTを持っているとこも少ないと思いますし、中小規模の企業でセキュリティの専任もそうそういないと思います。なので現場の方も報告を上げられていないケースもあるでしょうし、費用対効果も計れないので予算の承認もなかなか下りないケースもあると思います。そこに関しては経営陣から率先して啓蒙する必要があるのだと思います。
平賀:セキュリティはやっぱり専門的で難しい分野だと思います。ただそうはいっても昨今はセキュリティが問題視されるケースが増えています。昔は車がなかったから交通事故が起きなかったという例え話と同じです。今はインターネットがこれだけ進んだので、ある程度の確率でセキュリティ事故も起きてしまいます。
もちろん経営陣が率先して啓蒙活動することに加えて、開発会社や企業のWebサイト担当者様もセキュリティを要件に入れるべきだと言っていただく必要があると思います。
我々からは、まずは現場レベルで事故を減らしましょうというメッセージですね。そのためにも、最初から事故を起こさないようなセキュアなサーバーを選びましょうということです。

渡辺:なるほど、双方の努力が必要ですね。お二方ともありがとうございました。
利用者側のセキュリティ要件の高まりをキャッチアップしサービス化するスピード感や、社内での上層部を含めたリテラシーの高さと具体的な施策は大変すばらしいですね。
今回の対談では、専用サーバーやVPS、WordPress のホスティングサービスを運用されているNHNテコラス様ならではのお話を伺うことができました。
今後もホスティングサービス業界のセキュリティ動向に注目していきたいと思います。

小柳津 純様

NHNテコラス株式会社
データホテル事業本部 SME事業部 企画マーケティングチーム 副事業部長

平賀 真琴様

NHNテコラス株式会社
データホテル事業本部 SME事業部 企画マーケティングチーム
Writer:SecurityTIMES編集部