ECサイトの場合、年末に向けてトラフィックが急増し、ビジネス的には年間でも最も重要な時期を迎えます。システム運用でも監視体制が強化され、ちょっとした予兆でも僕のところに警戒情報がエスカレーションされてきます。「絶対にサービスを落とせない」という皆の緊張感を感じつつ、日々の業務にあたっている今日この頃です。
さて、今日はRakuten-CERTについてご紹介をしたいと思います。
初めてRakuten-CERTの名前を聞く方も多いかと思いますが、Raktuen-CERTは楽天グループのCSIRT

あんしん・あんぜんなWebサイト運営のために：「おれたち世界一になれますか？」：エンジニアライフ

■Rakuten-CERTの役割 〜安全なソフトウェア開発のために〜
Rakuten-CERTは楽天グループのインターネットサービスのシステムセキュリティに関するインシデント対応をコーディネーションするための組織ではあるのですが、リアクティブ対応だけがRakuten-CERTの役割ではありません。Rakuten-CERTの中核となる部署、システムセキュリティグループではプロアクティブな対応として、楽天の開発部での安全なソフトウェア開発のための仕組化とその支援を行っています。楽天の開発では以下の開発時のセキュリティ対策が仕組化されており、システムセキュリティグループではそれぞれのセキュリティ対策を運営しています。

あんしん・あんぜんなWebサイト運営のために：「おれたち世界一になれますか？」：エンジニアライフ

QA後にセキュリティ専門家による実査が入ります。ツールは単純なエスケープ漏れを漏れなく探すのは得意ですが、ロジックがからむような脆弱性を検出するのは弱いです。そこも含めて最後は人（専門家）がチェックします。なお、この時点で単純な脆弱性が見つかる場合は、開発プロセスの何処かに問題を抱えていることになり、プロセス改善につなげなければならないと思っています。また、この結果はシステムセキュリティグループにより経営層、各マネージャに対して品質・リスク報告されます。そして安全性が確認されてから新しいサービスがリリースされることになります。

あんしん・あんぜんなWebサイト運営のために：「おれたち世界一になれますか？」：エンジニアライフ

これまではPCクライアントのセキュリティ問題についてはユーザー責任で、自社のWebサイトの安全性を高めればいいと思ってきたのですが、どうもそろそろその考えを改める必要があるのかなと思っています。というのも、近年のマルウェアのターゲットが変化してきていて、Webサイトの認証情報を搾取して、そのWebサイトを悪用する方に向いて来ていているように思います。また、今後はますますその傾向が強まるのではないかと危惧しています。そうなると、Webサイト側でも黙っている訳にもいきません。
このようなID theft ※3に対して、楽天ではユーザ保護の観点で、Webサイト側でできる対策として、第二認証によるチェックや不正ログインの検知後のアカウントロックの仕組みを導入しています。今後は楽天グループの金融系サービスのノウハウを活かして、金融が得意としている不正利用のモニタリング技術を応用した、インターネットサービスでの不正利用検知ができるのではないかとも思っています。そして、この分野では楽天技術研究所との共同研究も可能性として考えられるかもしれません。楽天グループのシナジー効果を出すことで、より先進的な対策が実現できると思うので、ぜひトライしてみたいテーマですね。

あんしん・あんぜんなWebサイト運営のために：「おれたち世界一になれますか？」：エンジニアライフ