ユーザーのアクションを最大化するうえで欠かせないセキュリティ対策、昨年度のHTTPS対応に続き「TLS 1.2」の全サービス対応も実現
また、安全性の確保という意味で、もう一つ重要な要素として取り上げたのが「セキュリティ技術」だ。ユーザーのアクションの最大化という意味でも欠かせない。続いて、同社 最高情報セキュリティ責任者(CISO)の仲原英之氏が直近一年でのセキュリティ技術のアップデートを紹介した。
近年、個人情報保護の観点や、iOSアプリでのHTTPS通信必須化、Googleの検索結果表示におけるHTTPSの優遇やHTTPの警告など、インターネットでビジネスをする上で、暗号化の対応は無視できないものとなってきている。
一方で、暗号化には平文での通信に比べ、やり取りが3~4倍になり、結果Webサーバーの増設や証明書のセットアップといったコストがかかることから、一般に対応が後回しになりがちだった。特に、サービスの規模や関係者が多いYahoo! JAPANでは簡単な作業ではなかったが、2017年度に全サービスのHTTPS化を実現した。
2018年度はTLS 1.2への移行に取り組み、6月までに決済系サービス、10月には全サービスの対応を完了した。
TLSは1.0や1.1のバージョンにおいて脆弱性が報告されており、特にクレジットカード業界のグローバルセキュリティ基準「PCI DSS」では、2018年6月末でTLS 1.0の利用停止が求められたことから決済系サービスでの対応は急務だったが、ヤフーでは決済系以外を含め全サービスにおいてTLS 1.2への移行を決行した。
TLS 1.2への移行に関する影響度を事前調査したところ、Yahoo! JAPANのすべてのリクエストのうち、約3%に対する影響が想定された。3%といえども数十億のリクエストに対してなのでビジネスへの影響は決して小さくない。
しかし、ヤフーでは経営判断により、「売上への影響より安全を優先」「全サービスのTLS 1.2への移行」「早めに広く告知」という方針が決定された。エンドユーザーにも影響の有無を判断できるページを早めに周知することで、影響度合いを当初の3.3%から全サービス移行直前には1.3%まで抑えることができた。
周囲からの声も、「古い技術からのリプレースをヤフーが実施してくれたことでやりやすくなった」などと、好意的だという。仲原氏は、「ヤフーは20数年、日本のインターネットサービス業界のリーダーとやってきた自負があるが、やはりこのような試みは先陣を切って行うべきと実感した」と述べた。次は、TLS 1.3対応も予定しているという。
今回の施策を振り返り学んだこととして、仲原氏が言及したのは「オープンソースソフトウェア(OSS)の安全な活用」と「継続的インテグレーション/継続的デリバリー(CI/CD)」の重要性だ。
OSSの活用において、「ライセンスの順守」「プロダクトの信頼性/継続性の確認」「脆弱性対応」の3つが欠かせない。OSSは単なる無料ソフトウェアではなく課せられる義務があり、OSSの作者やメンテナンス状況、将来性はサービスの継続性への影響が大きいため、そのあたりの調査・対応はヤフーでも当然力を入れている。
現在、特に課題と感じているのは「脆弱性対応」で、ひとたびインシデントが発生すると、計画外の工数発生やサービスのダウンなど、その影響は計り知れない。これまでは独自にインシデントレベルをつけて対応を行っていたが、来年度からは世界標準の共通脆弱性評価システム「CVSS」に沿った対応を行うという。
ソースコードの記述・テスト・デプロイといった一連の開発プロセスを自動化する「CI/CD」は、アジャイル開発やDevOpsといった、サービスをいち早くユーザーに提供し改善を繰り返して価値を高めるトレンドのなかで重要性が高まっているが、早急な対応が必要となるセキュリティの側面でもCI/CDは重要だという。CI/CDが導入されていれば、すべてのサービスにすばやくパッチを当てることができる。ヤフーでは、CI/CDのビルドパイプラインに診断機能を組み込んだ「DevSecOps」への対応を今後考えているとした。
インターネットは、全世界がつながることによる便利さがある反面、世界中のどこからでも攻撃が行えてしまう。現在のサイバー攻撃は、海外からのものが圧倒的に多い状況で、アクセスの中身を精査するまでもなくIPアドレスベースで弾くのが比較的容易な状況だが、国内に脆弱性があり、そこを突破されて踏み台にされると中身まで解析する必要が発生し対応が難しくなってしまう。近年は誰でも気軽に攻撃可能になるツールなどが出回っており、今後、2020年の東京オリンピックの開催でサイバー攻撃が増えるという声も聞かれている。仲原氏は、「ヤフーでも日本のインターネットのリーディングカンパニーとしてセキュリティ対策をリードしていきたいが、ぜひ日本の皆さんと一緒に対策に取り組んでいきたい」とした。
最後に、CTOの藤門氏は「ヤフーは創業当時から日本で技術を一番大事にする会社。今後も素晴らしい未来をヤフーだけでなく、カンファレンスに来場した皆さんと一緒に作っていきたい」と述べ、基調講演を締めくくった。