• SecurityTIMES
  • 特集
  • 【教えて!Webセキュリティ対策】第8弾 株式会社いい生活

【教えて!Webセキュリティ対策】第8弾 株式会社いい生活

2018年1月24日(水) 特集

<ちょい読み>
・住生活を支える不動産情報を強固なセキュリティで守る
・お客様の信頼に応えるために、安全性の証明となる情報は全て公開する
・外からの脅威だけでなく中からの脅威にも注力し万全な対策をとる


こんにちは!SecurityTIMES編集部です。
【教えて!Webセキュリティ対策】第8弾は株式会社いい生活(以下いい生活)です。
いい生活は、賃貸や売買など幅広い不動産ビジネスに関する膨大な情報を集約し、業務効率化・売上増加を加速させる「ES いい物件 One」をはじめとした、不動産業に特化したクラウドサービスを提供している不動産テクノロジー企業です。
今回のインタビューでは、常務取締役 CTOの松崎 明様にお話を伺いました。

不動産テックを切り開いた、いい生活とは?

Q:まず初めに、いい生活の事業内容について教えてください。
A:はい。弊社は2000年から事業を開始していまして、それこそインターネットが全国的に普及し始めた時代から、インターネットの需要拡大に着目してサービスを立ち上げてきました。創業から17年、人々の衣食住の一角を支える企業として多くの不動産会社様や、その先にいらっしゃる生活者の皆様にサービスをご利用いただいています。

現在は、不動産業務に関する賃貸・分譲・売買といった情報をクラウド上で一元管理できるサービス「いい物件 One」を主力サービスとして提供しています。
情報の管理が可能なだけではなく、サービス経由でWeb媒体への情報アップロードや帳票作成・ファイル共有などのさまざまな機能がありまして、今では1248社、3391店舗(2017年9月現在)ものお客様にご利用いただいています。

不動産業界と聞くとまだまだアナログなイメージを持たれる方も多くいらっしゃると思いますが、実はさまざまなところでIT技術が応用されています。それらをまとめて「不動産テック」と呼んでまして、弊社のサービスもまさに「不動産テック」に該当します。「フィンテック」に比べるとまだ規模も小さいですが、徐々にその勢いを増しています。


Q:松崎様のミッションはどのようなものでしょうか?
A:私はCTOという立場上、幅広い領域で大きく3つのミッションを担っています。
1つ目は「テクノロジー」です。いい生活が提供するサービスや情報を溜め込むアーキテクチャといったもの全般を網羅しカバーしていくという仕事です。今後どうやっていくのかという技術ビジョンを考えていったり、技術の習得や共有、コスト管理をしながらサービスを拡大していくことです。
2つ目は「組織」です。エンジニア組織をどう作っていくか、自己規律を持って育っていく組織をどう育てていくべきかを考え、実行させることです。
3つ目は「プロダクト」です。今のサービスは不動産会社様にご利用いただくサービスが主軸ですが、それだけではなくて不動産業界全体に対して何をしていくかを考えていく必要があります。主にこの3つが私のミッションです。
いい生活しか持っていないものは何か?その強みはどうしたらもっと伸びるのか?といったことを日々考えています。

Q:情報システム部門も松崎様の管轄なのでしょうか?
A:情報システム部門はエンジニア部門とは別で配置されていまして、私とは別の者が統括しています。私はCTOですが、私の下にCIOとCSOがいる構成ですね。
それぞれ役割が異なっていまして、組織内の人に対する教育面はCSOが担当します。万が一、インシデントが起きたときもCSOが全社的にどうやって動いていくかの方針を決めることになっています。
社内の情報システムそのもの、例えば不動産会社様に対して営業をかけていくうえでどういった情報システムが必要なのかとか、ノートPCの持ち出しや、スマホの管理はどうするのかといったものはCIOの担当です。

社員教育と情報教育、全てはお客様のために

Q:システムのセキュリティを徹底されていらっしゃいますが、セキュリティ情報のキャッチアップはどのように行なっていらっしゃるんでしょうか?
A:複数のRSSからフィードを集めてSlackに流しています。例えば、BIND(DNSサーバ) や OpenSSL 等の OSSで定期的に発生する脆弱性の問題と対策や、マルウェアの流行等の情報について共有しています。
そのほかエンジニアが個人的にチェックしている情報で気になったものや影響がありそうなものも、自然とSlackに上がってきます。
こういった情報をベースに、公開サービスで使っているもので影響がありそうか否か、脆弱性の発生条件は限定的なのか、といった調査を行い、即時に対応するかそれとも様子を見るかといった、対応方針や切り分けをインフラチームと開発チームが協力して決めています。
私やCSOはチームの人が決めた方針や対策をチェックしてスケジュールに無理がないか、適正な判断なのかを確認しGOサインを出すという流れですね。

こういった脆弱性をはじめとしたセキュリティの情報は自分たちだけの問題ではないので、関係がありそうなお客様にも注意喚起という形でサポートからパッチ当ててくださいね、対策した方がいいですよと積極的に情報発信しています。

Q:社員へのセキュリティ教育はどのように行われているのでしょうか?

A:お客様の情報の安全が第一というお話をしましたが、その安全性を証明するものとしてITSMSとISMS、ISMSクラウドセキュリティといった認証を取得しています。 毎年1回行われる審査をクリアするためにも日頃の管理が必要不可欠です。 各部から担当者を一人選出してセキュリティコミッティという組織に所属してもらっています。 その組織内で月1回各部の情報資産の棚卸し確認や話題になったセキュリティの情報を伝えて各部で啓蒙活動をしてもらっています。 セキュリティの情報が出ればコミッティメンバーとセキュリティ管理室が中心になって情報を集めながら社員に広めていくという感じですね。

もちろんそれだけではセキュリティ教育は足りないと感じているので、半年に1回セキュリティeラーニングを受講してもらうようにしています。

エンジニアのセキュリティ技術を高める教育に関しては、日常の業務の中でエンジニア同士ディスカッションしながらスキルを身につけています。

個人情報は会社の生命線

Q:セキュリティインシデントを発生させないためのセキュリティ対策にはどのようなものがありますか?
A:幸いなことに、今まで個人情報漏洩につながるような大きなセキュリティインシデントは発生したことはありません。それはサービスに対してセキュリティ対策を適切に行なっているからだと考えています。
サービスを守る基本であるファイアウォールはもちろんのこと、WAFも利用しています。
脆弱性診断も欠かさず行なっていまして、リリース時と定期で診断を行うように取り組んでいます。リリース時の診断に関しては、あらかじめ定めたセキュリティレベルに到達するまで何度でも改修します。
また、DDoS攻撃への対策も取り組んでいます。弊社はオンプレ環境で運用しているのですが、データセンターと我々とのネットワーク間にDDoS対策を施して異常なトラフィックが発生した場合に影響を受けないように別のルートへ流すようにしています。この対策のおかげで、大規模なDDoS攻撃の影響を受けることもなく、安全な環境を築くことができています。
創業から17年経っておりますが、当時と変わらずオンプレ環境で運用しています。クラウドという概念がない時代からインフラに携わっているメンバーたちは何がベストなのか理解している人たちばかりです。
彼らの協力によって、サービスを安定稼働させるために最も適切な対策を選ぶことができていると感じています。

Q:セキュリティを重要視する理由はどのようなものがありますか?
A:弊社にとってのセキュリティは、会社の生命線という位置づけです。
私たちが扱っている情報は、不動産業に関連したさまざまなお金のやり取りや、大家さんの情報、不動産会社様がコンタクトしている顧客の情報など全て詰まっています。
もちろん私たちは中の情報を見ることはできませんが、弊社のサービスにはそういった情報が入っているわけです。
万が一にでもこれらの情報が漏れてしまったらどうなるかは、言うまでもなく想像がつきますよね。
弊社の経営に対するインパクトだけでなく、情報を預けてくれている不動産会社様は営業ができなくなってしまいます。
つまるところ、お客様である不動産会社様は自分たちの一番重要な資産を私たちに預けてくれているわけです。預けてくれるには絶対に安全だと、信用できることを証明しなければなりません。
お客様が信用できるように私たちで公開できる情報は公開して、透明性の高い企業ということを証明していますし、セキュリティ対策をしっかりと行うことでシステムの安全性を高めています。
弊社にとってセキュリティは生命線なんです。そのくらい重視して取り組んでいます。

Q:前のお話しからも、いい生活にとってセキュリティがどれほど重要かわかりましたが、具体的にどういったことに気をつけているのでしょうか?
A:個人情報はどこから漏れるのか?と考えたときに、まず第一に考えられるのは社内で働く人のミスが挙げられます。
外部からのサイバー攻撃といった脅威は当然ありますが、社員がうっかりマルウェアの仕込まれたサイトにアクセスして感染し、バックドアを作られてしまうといったことのほうが脅威に感じていますね。
情報漏えい事故は、故意か過失か関係なく内部の人に原因があったというパターンも多くあります。社員を信じるか否かという話ではなく、何かしらの悪意を持った人が情報を持ち出してしまうことも想定に入れて対策しなければならないということです。
灯台下暗しと言いますか、それを忘れてしまう人も多いのではないでしょうか。
安易に情報を持ち出せない仕組みにすることに加えて、情報を持ち出したくなる気持ちを防ぐことも、企業としてやらなければならないことです。

外からのサイバー攻撃対策をするソリューションはたくさんありますので、それらを何種類か組み合わせて多層防御することは最低限必要です。
侵入検知のIDSや、Webアプリケーション層へのWAF対策といったように、外から中に対する外部の対策を行っている企業は多いかと思いますが、内部の防衛策が甘い企業は多いと思っています。もちろん業務が滞らないように運用とのバランスは必要ですけどね。
そのほかにも、集計データを作りたいからと持ち出した個人情報をそこらへんのファイルサーバに置いたりして盗まれてしまうとかあるかもしれませんよね。
そういう風に適当にデータを扱ってしまうのを防ぐためにはどうしたらいいかを考えた方が個人情報漏えいのリスクが軽減すると思います。

私たちは不動産の中でも非常に重要な情報を持っているだけに外からの脅威だけでなく中からの脅威にも十分注意を払って、情報を守らなければなりません。
全ては不動産会社のビジネスのため、ひいてはその先にいる一般の方々の生活のために、信用を守るためにもセキュリティ対策は今後もしっかり行なっていく予定です。

おわりに

不動産という人々の生活に密着した情報を取り扱う重要性とその取り扱いを熟知し、絶対的な信用を得るためにセキュリティ対策を万全に行うと語る松崎様の熱意を感じたインタビューでした。
個人情報を守るためにも外側だけでなく内側の対策も必要であるという言葉を受け、当たり前のようでいて見落としがちな事柄を再認識することができました。
全てはお客様の信頼と安全のためにといったメッセージをいただきましたが、サービスの運用方法や考え方全てがその言葉によって成り立っていました。
本日はありがとうございました。

松崎 明様

株式会社いい生活
常務取締役CTO

2000年東京大学工学部卒業。同年当時まだ10名程度であった設立直後の「いい生活」に出会い、そのビジネス内容や会社の展望に惹かれてエンジニアとして入社。
その後、インフラ構築、Webサービス(バックエンド・フロントエンド)開発、プロダクト設計、アーキテクチャ設計など幅広い業務を経験。
2005年に執行役員CTO、2012年取締役CTOを経て、2015年常務取締役CTOに就任し現在に至る。
Writer:SecurityTIMES編集部