SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

イベントレポート

スパコン「kukai」の実現により完成されたヤフーのデータドリブンなエコシステムと、全サービス「TLS 1.2」対応への挑戦【YJTC 2019】


  • X ポスト
  • このエントリーをはてなブックマークに追加

ユーザーのアクションを最大化するうえで欠かせないセキュリティ対策、昨年度のHTTPS対応に続き「TLS 1.2」の全サービス対応も実現

 また、安全性の確保という意味で、もう一つ重要な要素として取り上げたのが「セキュリティ技術」だ。ユーザーのアクションの最大化という意味でも欠かせない。続いて、同社 最高情報セキュリティ責任者(CISO)の仲原英之氏が直近一年でのセキュリティ技術のアップデートを紹介した。

ヤフー株式会社 執行役員 テクノロジーグループシステム統括本部長 チーフインフォメーションセキュリティオフィサー(CISO) 仲原英之(なかはら・ひでゆき)氏
ヤフー株式会社 執行役員 テクノロジーグループシステム統括本部長 チーフインフォメーションセキュリティオフィサー(CISO) 仲原英之(なかはら・ひでゆき)氏

 近年、個人情報保護の観点や、iOSアプリでのHTTPS通信必須化、Googleの検索結果表示におけるHTTPSの優遇やHTTPの警告など、インターネットでビジネスをする上で、暗号化の対応は無視できないものとなってきている。

 一方で、暗号化には平文での通信に比べ、やり取りが3~4倍になり、結果Webサーバーの増設や証明書のセットアップといったコストがかかることから、一般に対応が後回しになりがちだった。特に、サービスの規模や関係者が多いYahoo! JAPANでは簡単な作業ではなかったが、2017年度に全サービスのHTTPS化を実現した。

 2018年度はTLS 1.2への移行に取り組み、6月までに決済系サービス、10月には全サービスの対応を完了した。

2017年度の全サービスのHTTPS化対応に続き、2018年度はTLS 1.2移行が行われた
2017年度の全サービスのHTTPS化対応に続き、2018年度はTLS 1.2移行が行われた

 TLSは1.0や1.1のバージョンにおいて脆弱性が報告されており、特にクレジットカード業界のグローバルセキュリティ基準「PCI DSS」では、2018年6月末でTLS 1.0の利用停止が求められたことから決済系サービスでの対応は急務だったが、ヤフーでは決済系以外を含め全サービスにおいてTLS 1.2への移行を決行した。

 TLS 1.2への移行に関する影響度を事前調査したところ、Yahoo! JAPANのすべてのリクエストのうち、約3%に対する影響が想定された。3%といえども数十億のリクエストに対してなのでビジネスへの影響は決して小さくない。

 しかし、ヤフーでは経営判断により、「売上への影響より安全を優先」「全サービスのTLS 1.2への移行」「早めに広く告知」という方針が決定された。エンドユーザーにも影響の有無を判断できるページを早めに周知することで、影響度合いを当初の3.3%から全サービス移行直前には1.3%まで抑えることができた。

早い経営判断とユーザーへの告知などにより、影響範囲を抑えつつ、TLS 1.2への移行を実現した
早い経営判断とユーザーへの告知などにより、影響範囲を抑えつつ、TLS 1.2への移行を実現した

 周囲からの声も、「古い技術からのリプレースをヤフーが実施してくれたことでやりやすくなった」などと、好意的だという。仲原氏は、「ヤフーは20数年、日本のインターネットサービス業界のリーダーとやってきた自負があるが、やはりこのような試みは先陣を切って行うべきと実感した」と述べた。次は、TLS 1.3対応も予定しているという。

 今回の施策を振り返り学んだこととして、仲原氏が言及したのは「オープンソースソフトウェア(OSS)の安全な活用」と「継続的インテグレーション/継続的デリバリー(CI/CD)」の重要性だ。

 OSSの活用において、「ライセンスの順守」「プロダクトの信頼性/継続性の確認」「脆弱性対応」の3つが欠かせない。OSSは単なる無料ソフトウェアではなく課せられる義務があり、OSSの作者やメンテナンス状況、将来性はサービスの継続性への影響が大きいため、そのあたりの調査・対応はヤフーでも当然力を入れている。

 現在、特に課題と感じているのは「脆弱性対応」で、ひとたびインシデントが発生すると、計画外の工数発生やサービスのダウンなど、その影響は計り知れない。これまでは独自にインシデントレベルをつけて対応を行っていたが、来年度からは世界標準の共通脆弱性評価システム「CVSS」に沿った対応を行うという。

 ソースコードの記述・テスト・デプロイといった一連の開発プロセスを自動化する「CI/CD」は、アジャイル開発やDevOpsといった、サービスをいち早くユーザーに提供し改善を繰り返して価値を高めるトレンドのなかで重要性が高まっているが、早急な対応が必要となるセキュリティの側面でもCI/CDは重要だという。CI/CDが導入されていれば、すべてのサービスにすばやくパッチを当てることができる。ヤフーでは、CI/CDのビルドパイプラインに診断機能を組み込んだ「DevSecOps」への対応を今後考えているとした。

 インターネットは、全世界がつながることによる便利さがある反面、世界中のどこからでも攻撃が行えてしまう。現在のサイバー攻撃は、海外からのものが圧倒的に多い状況で、アクセスの中身を精査するまでもなくIPアドレスベースで弾くのが比較的容易な状況だが、国内に脆弱性があり、そこを突破されて踏み台にされると中身まで解析する必要が発生し対応が難しくなってしまう。近年は誰でも気軽に攻撃可能になるツールなどが出回っており、今後、2020年の東京オリンピックの開催でサイバー攻撃が増えるという声も聞かれている。仲原氏は、「ヤフーでも日本のインターネットのリーディングカンパニーとしてセキュリティ対策をリードしていきたいが、ぜひ日本の皆さんと一緒に対策に取り組んでいきたい」とした。

 最後に、CTOの藤門氏は「ヤフーは創業当時から日本で技術を一番大事にする会社。今後も素晴らしい未来をヤフーだけでなく、カンファレンスに来場した皆さんと一緒に作っていきたい」と述べ、基調講演を締めくくった。

技術力こそがYahoo! JAPANの基盤であると強調した藤門氏

技術力こそがYahoo! JAPANの基盤であると強調した藤門氏

修正履歴
関連リンク

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
イベントレポート連載記事一覧

もっと読む

この記事の著者

斉木 崇(編集部)(サイキ タカシ)

株式会社翔泳社 ProductZine編集長。1978年生まれ。早稲田大学大学院理工学研究科(建築学専門分野)を卒業後、IT入門書系の出版社を経て、2005年に翔泳社へ入社。ソフトウェア開発専門のオンラインメディア「CodeZine(コードジン)」の企画・運営を2005年6月の正式オープン以来担当し、2011年4月から2020年5月までCodeZine編集長を務めた。教育関係メディアの「EdTechZine(エドテックジン)」...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/11354 2019/01/26 20:17

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング