Forkwell Press

エンジニアの生き様をウォッチするメディア

セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏

f:id:grooves:20180822135816j:plain

 テーマをえらんで手軽に投資ができるオンライン証券サービス「フォリオ」をスタートさせた株式会社FOLIO。ユーザーに「ワクワクする投資体験」を提供する同社のエンジニアにお話を伺う連載の第4弾は、情報戦略部、セキュリティエンジニアの鈴木研吾さんが登場します。

 日本の資産運用のハードルを下げることを目指すFOLIOにとって、システムのセキュリティは、サービスの質、ユーザーとの信頼関係に直結する一大事です。キャリアの中で一貫してセキュリティ畑を歩んできた鈴木さんは、どのようにしてFOLIOに「セキュアな環境」を構築しようとしているのでしょう? 堅牢なシステム、セキュリティ意識の啓発はもちろん、第一線で働くセキュリティエンジニアだからこそ実感を持って伝えられる「理想のセキュリティ」についてもお話しいただきました。

セキュリティ対策は企業の総力戦

f:id:grooves:20180822135216j:plain

「セキュリティは時とともに変わるもの。そんな風にとらえているものの、弊社は金融サービスを提供しているので、金融庁の監督指針に基づく形で、セキュリティの要件を決めて実装し、運用しています」

 国内株を取り扱う独立系証券会社として10年ぶりに新規参入を果たしたFOLIOは、IT系でありながら、同時に金融業界に属する企業でもあります。ユーザーの資産を預かるサービスの性質上、当然セキュリティに関しては注力する必要があり、セキュリティエンジニアを務める鈴木さんの果たす役割は大きなものになるのですが、セキュリティの専門家である鈴木さんの考えは少し違うようです。

「もちろん、セキュリティの部署がしっかり機能するというのは大切なことです。ただ、その部署だけがしっかり機能していればよいかというとそういうわけではなく、会社全体の話だと思うんです」

鈴木さんはセキュリティとは、人の採用や会社の施策と同じ、企業全体で臨む総力戦の一部だといいます。

「セキュリティの技術部分の要件を整えたり、セキュリティの意識づけをするのは専門部署の仕事です。しかし、たとえば経営陣がSNSのアカウントを乗っ取られたとしたら、それはアカウントの持ち主の管理の問題になるわけです。意識付けは必要ですが、社内ドキュメントやシステム、エンジニアのコーディングもそれぞれが普段からセキュリティ意識を持って対処する必要があるんです」

つまり、鈴木さんの言う「総力戦」とは、技術管理を行うセキュリティ部門、その要件に沿って実装されるシステムを扱うエンジニアや経営企画、バックオフィスから経営陣まで、その企業に属するすべての人がセキュリティに対する意識を持ち実行することで初めて、セキュアな状態が生まれるというのです。

「極論を言えば、僕はセキュリティなんて早くなくなってしまえばいいのになと思っているんです」

「セキュリティはどうあるべきか?」という壮大な質問に鈴木さんは、インタビュー中、終始変わらない、抑えめのトーンで誠実に答えてくれました。その答えの真意はどこにあるのか? ここからは鈴木さんの言葉で語っていただくことにします。

理想は「セキュリティエンジニアがいなくなった世界」

――これまでのキャリアでも一貫してセキュリティ畑を歩まれています。セキュリティというと、多くのエンジニアにとって身近な概念ですが、実際のところ、本質を理解している人は少ないかもしれません。少し大きな質問ですが、鈴木さんはセキュリティに対してどんな考えを持っていますか?

「極論を言えば、僕はセキュリティなんて早くなくなってしまえばいいのになと思っているタイプです。もっと言えば、セキュリティエンジニアという職種がなくなる方がいい。普段からみんなが使っているプラットフォームが、意識しなくても安全な状態で保たれている。 そういう状態が理想的だと思うんです。サービスやプロダクトを提供する際にセキュリティを考えるのは大切なことですけど、本来そのモチベーションはユーザーに何かしらの価値を届けたいからです。であれば、サービスやプロダクトチーム、そしてそれを支える非技術的部門を含む基盤チームがそれぞれセキュリティをやっていけば良いと思います。当社にとってセキュリティは当然のようにやらなければいけない非機能要件の一部であると考えます。僕としても、注力したいのはFOLIOの事業そのもので、ユーザーが新しい価値を手に入れてより良い人生を歩んでいってほしいと思っています。サービスやプロダクトは、ユーザーが新しい価値を手に入れてより良い人生を歩んでいくために使うものだと思うんです」

――近年では、インターネットを介した取引の情報漏えいが問題視されています。

「ユーザーが安心してサービスやプロダクトを使うためには、その裏側で走っているシステムやプログラムが安全であることは必要条件だと思います。でもそれが目的ではありませんよね。セキュリティを徹底してがんばることが直接ユーザーの価値に貢献するわけではないという前提に立って仕事をしています。セキュリティは、セキュリティエンジニアという“特別な部署の特別な役割の人”ががんばらなければいけないものではなくて、サービスやプロダクトをつくる人たちが適切なプラットフォームと適切な実装を、協力しながらつくっていたら結果的にセキュアになっていたという風になればいいなと思っているんです」

――サービスやプロダクトがセキュアに保たれている前提で価値を提供したいということですね。そういう風に考えるようになったきっかけはあったのでしょうか?

「高校、大学、大学院とアメリカで学生生活を送ったのですが、その時ある保険に入ったんですよ。そこのデータが漏えいして、個人情報が流出してしまったんです。業者からはお詫びの手紙が来たんですが、そのときの経験がセキュリティに対する関心と考え方のベースにあるかもしれません。保険自体は、病気や事故にあった時などにかかる費用を負担してくれるサービスで、そのサービス自体はユーザーに安心をもたらすものですよね。それなのに、本業とは別のところで、ユーザーの安心を損ねるようなことをしてしまっている。ユーザーからすれば保険で安心を得たいのに、情報漏えいによってトータルで人生の安心度合いが下げられてしまったわけです。なんだかそれってすごくもったいないなと思ったんです」

――それがひとつのきっかけになって進路を決めた?

「そうですね。少し僕のキャリアの話になりますが、大学、大学院では機械工学を専攻していて、ロボットの制御シミュレーションの数学的なモデルをつくったりしていました。大学院に進学する前に少し時間があったので、一時帰国してインターンシップに応募したのですが、それがセキュリティとの最初のかかわりでした。大学院卒業後に野村総研に入社して、NRIセキュアテクノロジーズというところに出向しました。そこでは主にネットワーク、Webサーバのセキュリティ面の構築、運用、保守を担当して、ベンダーからセキュリティ製品を購入して、証券会社向けに提供していました。そのころは、要件定義、調整が主で、プログラミングはしていませんでした。エンジニアというかプログラミングの経験自体は浅い方で、仕事としてプロダクトをつくったのは2014年にマネーフォワードに入社して、そこでAndroidアプリを作ったのが初めてですね」

資産管理から資産運用へ 自らのキャリアに事業が重なった

f:id:grooves:20180822135904j:plain

――マネーフォワードを経て、FOLIOに入社することになるわけですが、そのときの経緯を教えてください。聞くところによると、一度FOLIOのオファーを断っているとか。

「マネーフォワードが上場したのをきかっけに次のステップを考え始めました。金融業界以外の業界も考えていて、最初にFOLIOに声をかけてもらったときは、他の選択肢に心が傾いていたんです。でも、FOLIOの事業やプロダクトに対する興味が拭いきれなくて。前職のマネーフォワードの事業は、ユーザーの資産管理、フィードがメインたったのですが、一元管理された資産を持つユーザーが、その後どういうアクションを起こすか、というところに興味があったんです。つまり資産運用ですよね。個人的にも投資をしてみたいという思いはあったんですが、成長しそうな業界やテーマを選んでというところまではできても、会社四季報を細かくチェックして投資先の企業を決めるというのが正直ハードルになっていました。投資信託のようにそういった負担を軽減するものが出てきていますが、周囲を見ても、資産を投資でという人は少なくて、タンス預金が多い。資産管理から投資のフェーズに移行するには、投資に対する見方を変えなければ無理だと思っていたんです。ユーザーが投資に興味を持って投資してみようという気持ちになるような仕掛けがないと、投資する人は増えません。『なんだか難しそう』とか『面倒くさそう』と思っていた投資が、簡単とか楽しいと思えるような何かが必要だと思ったんです。資産運用、投資のしきい値を下げることが課題だと思っていたところにFOLIOの「テーマ投資」というアイデアを聞いて、まさにこれだと」

――そして投資のしきい値を下げることの中にセキュリティも当然含まれていて、そこでできることがあると思った?

「そうですね。学生時代の保険の情報流出もそうなんですが、本質的な価値を提供しようとしているのに、本筋とは別のところでユーザーの安心を危険にさらして、信頼を失うというのは、本末転倒ですよね。情報を漏らされたことで、保険に対してネガティブな印象を持った学生もいたかもしれないと思うと、スタートアップであっても、投資のしきい値を下げていこうと思っている企業のサービスやプロダクトのセキュリティに不安があるというのは、もったいない。そのことで投資のハードルがまた上がってしまうわけですから」

顔の見える情シスとコミュニケーションの重要性

――ユーザーの資産に触れるサービスを扱っている立場として、セキュリティに対する責任、プレッシャーは感じますか?

「めちゃめちゃ感じます。何か新しいことをする度に『これ本当に正しかったんだっけ?』『リスク分析正しかったかな?』『優先順位合ってたかな?』って不安になっています。僕ははじめからセキュリティをガチガチに厳しくするというより、ユーザーの使い勝手とのバランスで、出来る限り自由度のある要件にしています。ギリギリを攻める方なので、やってみたものの実はNGだったんじゃないかって、内心ではドキドキしています。アグレッシブに攻めすぎたときはエンジニアから『本当にそれ大丈夫ですか?』と質問されることもありますね。反対に『これってなんで必要なの?』と聞かれたときは、きちんと説明すれば、納得してすぐに実装してくれます。FOLIOは優秀な人ばかりで、とにかく理解が早くてありがたいです」

――エンジニアレベルでの意識が高いと、鈴木さんのおっしゃっていた「セキュリティを意識しないセキュアな環境」に近づきそうですね。

「セキュリティだけでなく情報戦略全体の話しになりますが、結構ありがちなのが、自社の情報システム部署が何をしているのかわからないという状態です。それって実はすごくもったいないと思っていて、わからないけど何かやっているんだろうなという感じだと、コミュニケーションって発生しないんです。セキュリティもそうなんですけど、情報システム部視点でのユーザーって、最終的にはエンドユーザーなんですけど、一次的なユーザーって社内のメンバーなんです。社内サービスを提供して、自分たちが何をやっているのかを説明しつつ、それに対するフィードバックをもらってコミュニケーションを発生させる。これは今後、成長していく会社を支える基盤や伝達神経として、スケールさせていかなければいけないところだと思っています」

 8月8日にはβ版を終了し、ブランドロゴおよびビジュアル・アイデンティティを一新、Android、iPhoneアプリをリリースするなど本格的なサービスをスタートさせたFOLIOにとって、セキュリティはますます重視しなければいけないポイントといっても過言ではありません。FOLIOの挑戦の先に、鈴木さんの理想とする「セキュリティエンジニアという役割を必要としない世界」があり、その状態が続いて初めて、ユーザーはサービスやプロダクトの本当の価値を手に入れたと言えるのかもしれません。

常時セキュアが当たり前の世界を目指して

f:id:grooves:20180822140012j:plain

「将来的にはプラットフォーマー側に立ちたいと思っているんです」

 鈴木さんは将来的には、「セキュアな世界を実現」するためのプラットフォームを提供する側に立ちたいと言います。

「Google Cloud Platform (GCP)、Amazon Web Services (AWS)とか Microsoft もそうですけど、ここ数年の技術の進歩ってすごいんです。セキュリティに携わった6年の間にも、やらなきゃいけないけど技術的に辛いよねって言っていたことが、プラットフォームを使うことで、相当簡単にできるようになってきています。現場で辛い思いをしている人たちに機能を提供できる立場になれたらいいなと思っているんです」

プラットフォームが充実すれば、鈴木さんの目指す「セキュアが当たり前の環境」の実現が容易になるのは間違いありません。 全編を通じて、逆説的にセキュリティの重要性を伝える形になった今回のインタビューですが、「意識を高くすること」=「当たり前のレベルを上げること」で、セキュリティを特別視しなくても当たり前に標準装備されている環境をつくるというのは、たしかに理に適ったアプローチでしょう。最後に鈴木さんに、どんなセキュリティエンジニアと働きたいか? という質問をしてみました。

「自分なりのセキュリティ、こういうセキュリティを構築していきたいという考えを持った人ですかね。セキュリティのアプローチ方法はたくさんあるので、必ずしも自分と同じ考えじゃなくて良いです」

 そう語る鈴木さんですが、セキュリティの原則、べースとなる部分は共通するものがあると言います。

「そこを語り出したら長くなるので、いまの時代に即して挙げるならリスクベースとゼロトラストの考え方は重要だと思います」

 今回の本筋ではない上に中途半端に語ると誤解を生みそうとのことで、本当に長くなりそうだったので名称を挙げるだけにとどめましたが、セキュリティが肝とも言えるオンライン証券会社FOLIOのセキュリティエンジニアが語るセキュアな世界の一端はご紹介できたのではないでしょうか。

さて、次回は、フロントエンドエンジニアの倉見洋輔さんが登場します。

「倉見さんと僕は同時期に働いてはいないものの、元NRIというつながりがあります。彼はフロントエンドとしてだけでなく、脆弱性の指摘を話してると、話の途中でも正しい対策を話しだすソフトスキルでも優秀な方です。それから……声が大きいです(笑)」

物理的な声がよく通るという意味です、と鈴木さんが紹介する倉見さん。ユーザーが直接触れる部分の開発を担う彼の考えるデザインやUIについてお伺いします。

ライター:大塚一樹