導入事例｜セキュリティ対策のノウハウ蓄積に貢献／Chatwork株式会社様

セキュリティ対策のノウハウ蓄積に貢献

2000年に創業したChatwork株式会社は、BtoB向けのクラウド型ビジネスチャットツール「Chatwork」を提供しています。「すべての人に、一歩先の働き方を」をビジョンに、ITツールを扱う文化が根付いていない中小企業でも利用しやすいツール開発に努めてきました。

同社では2019年9月に上場を実現。それと時を同じくして、情報セキュリティの整備や対策をより強化しようという考えが広がったといいます。そんな社内の課題の解決を担当する、プロダクト本部 副本部長の田中 佑樹さんに、マキナレコードのサービス利用（セキュリティ顧問契約）の経緯や効果を伺いました。

情報セキュリティ対策の強化へ向けて

ーーサービスを利用する前、Chatwork様にはどんな課題がありましたか？

田中氏：

弊社は2019年9月に上場したのに伴い事業が拡大し、自然と社会的な責任も増しました。その頃から経営層を中心に、個人情報の取り扱いなど、特にプロダクト開発上の観点からセキュリティ対策を強化していないといけないという思いを感じ取られるようになりました。

創業以来、セキュリティに対する大きな問題は起こっていません。ISMS認証なども取得して、業務フローにおける個人情報の管理はできていると思います。しかし上場というフェーズを迎えたことで、私の中でプロダクト開発におけるセキュリティ対策は、より一層の強化が必要と感じるようになりました。

具体的に言うと、プロジェクト開発時のセキュリティ対策で、「これは会社でなにか方針を立てていますか」という質問が社内で増えてきたのです。質問を受ける度、設計時に対策を講じてきました。

弊社ではCSE部（コーポレート・ソリューションズ・エンジニアリング）という部門が、情報システム管理を担当しています。しかしこの部門は全社的なセキュリティ管理を担当して、プロダクト開発に特化した業務までは手が回っていませんでした。

そこでセキュリティのコンサルティングを外部に委托して、アドバイスをいただこうという結論になったのです。それが2020年2月の頃でした。

ーー数多くある会社からマキナレコードを選んだ理由は何ですか？

田中氏：

比較検討を進めていた時、マキナレコードさんがもっともWebのセキュリティに関して、見識が広く話しやすいと思ったからです。これは私の勝手なイメージなのですが、セキュリティ業者の方々は、当該分野の知識は豊富な一方で、最新のクラウドサービスやSaaS、分散型システムのトレンドを熟知している人は、少ないという印象を抱いていました。

その点、マキナレコード代表取締役の軍司祐介さんは、ヤフー株式会社、株式会社ミクシィ、楽天株式会社などWebサービスの大手企業に従事された経験があります。SaaSのセキュリティ面を考慮して、彼のサービスの運用経験や知見をお借りできると考えました。予算面においても、私たちが想定していた非常に現実的なプランだった点も大きなポイントでした。

外部からの知見により、社内体制にも変化が

ーー実際にサービスを利用し始めてからの感想もお聞かせください。

田中氏：

正式契約をしたのは、2020年4月です。週1回の定例会を開き、弊社の懸念や質問を回答していただく形式を採っていました。弊社にはセキュリティに特化した人材が不足し、ノウハウがない状態でした。開発部門からの質問に答えるシーンでも、裏付けのある回答が難しかったです。

意見を交換するようになって、サポートへの回答に問題がないか、豊富な知見からアドバイスをいただけるようになりました。そのおかげで、セキュリティ対策に大きな安心感・納得感を得られるようになりました。

ーーさまざまなサポートを受けるなかで、特にその知見が役立ったと感じたシーンはありますか？

田中氏：

特に大きかったのは、仮にセキュリティインシデント※が発生した際の対応方法についてです。

具体的にはサイトの「攻撃者」の立場から見た場合、仮にサービスの脆弱性を発見したとき、それを公開せずあえて黙っておき、時間を置いて脅迫材料として用いるケースがあると教えられました。

その上で、もしも脆弱性が見つかった場合、経営層から意思決定の判断を決めたほうがいいとアドバイスされました。公表の仕方や社外発信の方法の選択、広報チーム、状況調査エンジニアチームの設置などをすぐ整えられる体制が必要だと。こうした特殊なケースに対する運用フローを、予め準備しておく重要性を再認識できました。

※セキュリティインシデント

情報および制御システムの運用における、セキュリティ上の問題と捉えられる事象のこと。情報流出やフィッシングサイト、不正侵入、マルウエア感染、Webサイト改ざん、DoS(DDoS) 攻撃など様々な事象が挙げられる。

ーーサービスを通じて、社内の情報管理やセキュリティへの考え方に変化はありましたか？

田中氏：

私は当初、Web業界で開発に携わる人材は、新たなサービスの開発には興味がある一方で、セキュリティに関する興味は薄いと思っていました。私自身がそうだったので（笑）。技術者にとって、開発業務は得意な一方で、セキュリティに求められる運用の概念は、煩わしいものに感じられるだろうと考えていたのです。

しかし今回、マキナレコードさんに委託してセキュリティの強化を図ることを社内で通達すると、1人のメンバーが「私も関わりたい」と手を上げてくれました。それがとても意外であり、嬉しい驚きでしたね。もともと私1人で進めていたプロジェクトでしたが、メンバーを招き入れて2人の「セキュリティ専任部隊」ができたのです。これは組織として、とても大きな一歩だったと思います。

また、「プロダクト全体でセキュリティスキャンをかけたほうがいい」というアドバイスを受けて、2020年11月からマキナレコードさんにご紹介いただいた外部の企業に委託して、セキュリティスキャンを行っています。現状、重大な脆弱性は発見されていませんが、社内のスタッフでは踏み込めなかった課題に取りかかれたのは、大きな成果だと思います。

社内でセキュリティ対策を共有しつつ、盤石な体制でサービス拡充を進めたい

ーー今後Chatworkでは、セキュリティ対策でどのようなことを進める予定ですか？

田中氏：

先ほども触れましたが、従業員が増えるに従って、社内でセキュリティに関する方針を聞かれる機会が増えています。現在はプロダクト開発という文脈における、全社的なセキュリティポリシーを充実させたいと考えているところです。

ポリシーの具体的な内容としては、社内がどのような情報を重要なものと捉えて、どう管理していくのか。どのデータを暗号化するかといった項目です。こうした各方針に対してのレビューや、他社事例に基づいたアドバイスをいただけたらありがたいですね。

ーー全社的にセキュリティの方針を共有できるようにしていくわけですね。

田中氏：

さらにChatworkは、今後さまざまな機能拡張をしていく予定です。現在は「スーパーアプリ構想」という形で、Chatworkをさまざまな新しいアプリケーション、機能を追加できるよう開発を進めています。機能追加に伴い取り扱う情報が増えてくるので、その都度運用体制を相談したいですね。

Chatwork株式会社 プロダクト本部 副本部長 田中佑樹

上智大学卒業後、IT関連の業務に携わる。
その後、Webエンジニアとして2013年4月からChatworkに入社。
Webを中心とした開発業務に携わり、開発から設計、プロジェクトマネージメントといった上流工程も経験。
現在はプロダクト本部の副本部長として、プロダクト開発をしていく組織を拡大していくための仕事に注力している。