セキュリティだけでなく「DevSecOpsの取り組み」を作るfreeeのPSIRT
freeeは、「スモールビジネスを、世界の主役に。」をミッションにクラウド会計ソフトを提供している。常に新しいサービスやプロダクトを積極的に開発しており、最近ではクラウド型販売管理ソフト「freee販売」やインボイス制度に対応した請求書を無料で作成できるサービス「freee請求書」をリリースした。
そのfreeeに2022年1月にジョインしたのが越智郁氏。「今日はセキュリティ技術者として大切にしていること、攻めと守り、仕組み作りの視点からお話しします」と切り出した。前職ではWebセキュリティ企業でWebアプリケーションの脆弱性診断をしており、freeeではPSIRT(Product Security Incident Response Team)を務めている。まずは攻めにあたる脆弱性診断から業務を始め、後にGitHub audit logを監視する仕組み作りや、守りにあたるSensor監視も手がけるようになった。
PSIRTはプロダクトのサービスを守るのが責務だ。freeeにおけるプロダクトとは、顧客の活動に関するデータに何らかの処理を行うことで、顧客のビジネスを支援するものとなる。越智氏は「お客様からお預かりした情報は企業活動そのものであり、非常に価値があり、攻撃者が狙ってきます」と話す。そうした攻撃に対応するのがfreeeのPSIRTになる。
セキュリティチームというと異常を検知してからインシデントに対応するというイメージがありがちだが、越智氏によるとfreeeのPSIRTは「DevSecOpsの取り組み」と言ってもいいそうだ。開発と運用の流れの中で自然とセキュリティも埋め込まれており、そのための仕組み作りも含む。
日々の運用では、基本的には下図のようなループを回している。後述するSensor監視は担当者が集まり分析する「もくもく会」に該当し、そこで分かった状況やセキュリティ動向で気になることを週次でCSIRT(Computer Security Incident Response Team)とPSIRTで情報共有し、改善につなげている。もしインシデントが起きればハンドリングを行い、足りないものに気づいたら改善や備えを加えていく。
なおfreeeにおけるPSIRTは、社員全体の割合から見ると1%の規模となる。女性は2人。組織で見ると、CISOの配下にCSIRTとPSIRTがあるという構成だ。