こんにちは! GMO ペパボのグループ会社である GMO クリエイターズネットワークのよしだです。
今回は、GMO クリエイターズネットワークで実施した 2024 年度セキュリティ改善計画について振り返ります。
セキュリティ改善計画とは
期初に、サービスや運用を包括する形でセキュリティ改善項目を設定しています。 今回は、主にサービス面での対策を抜粋して振り返りたいと思います。
また、運用面としては、下記の項目を実施しています。
- ポリシー遵守チェック
- 業務ツールの棚卸
- 標的型メールのセキュリティ訓練
- BCP 対策
- インシデント訓練
運用面は総務の方が担っており、日々支えていただいています。
バッチサーバーの Cloud Run Jobs 移行
下記のテックブログにも記載しましたが、Docker on VM から Cloud Run への移行を進めています。 その中で、移行できていないバッチサーバーを Cloud Run Jobs へ移行しています。
Docker on VM から Cloud Run へのインフラ刷新プロジェクトを実施したお話
実施内容としては、Cloud Run Jobs の作成だけでなく、バッチ処理のエントリポイント統合や CD 修正がありました。
特に苦労したのは、VM 上で起動している cron の無効化と Cloud Run Jobs の有効化の切り替えタイミングです。 下記の性質のものは特に慎重に対応する必要があります。
- 実行間隔が短い
- 停止時間が長いとサービスに影響が出る
- 営業時間内のみ実行される
中でも日中、数分間隔で実行している銀行口座への振込処理のに関しては、下記のような悩みがありました。
- 営業時間内に実行することで失敗時のリスクが高まるため、営業時間外に移行したい。
- しかし、営業時間外に移行することで動作確認ができない。
そのため、事業部と移行時期や時間帯を調整し、業務に影響のない日中の時間帯に少しずつ移行していきました。
大きなトラブルもなく移行できたのは良かった点です。 2025 年には全てのバッチサーバーを移行したいと思います。
脆弱性診断と対応
毎年、GMO サイバーセキュリティ by イエラエに脆弱性診断を依頼し、弊社エンジニアで修正対応を行っています。
毎年実施していることもあり、重大な脆弱性はありませんでしたが、改善点はいくつかありました。 例えば下記のようなものです。
- 特定の状況下でエンドポイントを直接実行した際に、数値のマイナスを受け付けてしまう
- N+1 が発生しており、レスポンスが非常に遅い
リスクレベルの高いものから順に実施していき、修正対応も無事年内に完了しました。 日々のリファクタリングによる修正が、思わぬ脆弱性を生んでしまうことも考えられます。そのため、継続的な診断実施と対応が必要だと感じました。
修正は簡単なものが多かったですが、OAuth 連携で再現するケース等の動作確認に手間がかかってしまいました。 指摘事項を毎年減らしていきます。
PHP バージョンアップ
使用している言語やライブラリの継続的なバージョンアップも必要です。 2024 年は PHP とフレームワーク、関連ライブラリのバージョンアップを実施しました。
影響範囲の調査から始まり、非推奨の記述修正や関連ライブラリのアップデートと進めていきます。 関連ライブラリが新しいバージョンに対応していない場合は代替ライブラリを探して対応します。
動作確認のために大幅にテストコードを増やせた点は大変だった反面、良かった点です。 しかし、テストが困難な部分はシナリオを決めて、手動で実施する必要があったため、モジュール分割等のテストのしやすい構成へ修正していく必要性を感じました。
リリースに際し、大きなトラブルがなかったことは本当に良かったです。 今回は複数バージョンを跨いでのバージョンアップでしたが、継続的にバージョンを上げていけるよう努力します。
インシデント訓練
毎年、実際の業務で発生し得るシナリオを元にインシデント訓練を実施しています。 2024 年はシステムのバグによる、誤送金でした。
インシデントの発生連絡から、原因の調査、関係各所への連絡と進行していきます。 部署毎に並行して対応を行うため、定期的な進捗共有ミーティングも実施します。 インシデントの収束まで実施し、訓練は終了となりました。
インシデント訓練を定期的に行うことで、潜在的なリスクの洗い出しができます。 例えば、人の入れ替わりにより、調査者に適切なサービスのアクセス権がないことが発覚するかもしれません。
訓練後の振り返りを行うことで、次回以降の行動に結びつけることができます。 準備から訓練の実施、振り返りと携われることで訓練を実施する意義をより理解できたように感じます。
全体を通して感じたこと
当たり前ではありますが、高いセキュリティ意識は全てのパートナーに必須のものとなっています。 訓練や対策を通して、一人ひとりの意識を高めていくことで、より安全なサービスを提供できるのだと思います。
そのための施策を積極的に行ってくださっている社内外のパートナーの皆さまに支えられて私達は安全なサービスを提供できています。 いつもありがとうございます。
これからもお客様にとって安心で安全なサービスを提供できるよう、精進していきます。
GMO クリエイターズネットワークでは、プロダクト開発職種の採用をおこなっています!
フリーナンスでは今、プロダクト開発組織を立ち上げていこうとしている最中です。
ソフトウェアエンジニアとして面白い部分は、フロントエンド〜バックエンド〜インフラを横断的に扱う開発スタイルで開発している点です。 Go のコードを書いたり、Terraform を書いたりしながら開発を進めていることが多いです。
現在は Go や React を中心としたシステムへのリアーキテクチャを検討しています。 バックエンドアーキテクチャの設計やフレームワークの選定、検証とやれることは非常に多いです。
そんな技術課題の解消やユーザに価値を提供出来る仕組みづくりを私達と一緒に進めていってくださる方々を募集中です!以下の職種を積極採用しています!
また、カジュアル面談も大歓迎ですのでお気軽に申し込んでいただけると嬉しいです!