事故を起こさないためのセキュリティオペレーション

楽天ではセキュリティ事故を起こさないために、日常のシステム運用オペレーションにおいてもいくつかの施策を図っています。

楽天のシステムについて

楽天のシステムについて
楽天のWebサービスでは数千台のサーバが稼動しており、常にインターネット上の脅威にさらされていると言っても過言ではありません。
巨大な楽天のシステムのセキュリティを維持することは簡単なことではありませんが、全社員がセキュリティについて適切な知識と知恵を用いて、みなさまにあんしん・あんぜんなサービスを提供できるよう日々努めています。本ページでは楽天のシステムをあんしん・あんぜんに運用するために、楽天がどのようなオペレーションをおこなっているかのご紹介をしたいと思います。

このページの先頭へ

Rakuten-CERTについて

みなさまはCSIRTという組織体についてはご存知でしょうか?CSIRTとは、Computer Security Incident Response Teamの略で、その名のとおり、コンピュータセキュリティにかかるインシデントに対応するための組織の総称です。実際のインシデントに関する対応や、脆弱性情報の収集や分析、ウイルスの処理や広報活動まで、CSIRTでは様々な業務が定義されています。CSIRTの機能をもつ組織は、一般的な企業をはじめ、行政や司法の組織、学校など、多くの業種にわたっています。組織によって、CSIRTの機能のもたせ方は様々で、CSIRTの専門部隊を持つ組織もあれば、いくつかの部署がそれぞれの機能を果たすことで、CSIRTを仮想組織として成り立たせているところもあります。

楽天におけるCSIRTはRakuten-CERTと呼ばれており、運営を担当するセキュリティ専門職の他、各開発セクションから選ばれたエキスパートにより運営されています。

Rakuten-CERTでは、実際にインシデントが発生した場合の対応措置方針を策定し、経営陣に判断を仰ぐ役割や、後述する脆弱性情報をはじめとしたコンピュータセキュリティに関する情報の収集や分析などをおこない、縦割りである事業間で横断的に共有しています。

Rakuten-CERT組織構成図 Rakuten-CERT組織構成図

Rakuten-CERTの重要な役割の一つとして、外部との情報交換窓口があります。組織内での横断的な情報共有の展開も非常に重要な機能ですが、他社との企業間でも利害関係を超え、コンピュータセキュリティに関する情報を共有するようにしています。

FIRSTのロゴFIRSTのロゴ
日本シーサート協議会のロゴ日本シーサート協議会のロゴ

その活動の一環として、Rakuten-CERTは、日本シーサート協議会とFIRST(Forum of Incident Response and Security Teams)へ加盟しており、積極的に外部との情報交換を行っています。

このページの先頭へ

Rakuten-CERTの今後

楽天は日本だけでなく世界各国で事業を展開していきます。各国拠点の支社やグループ企業でもRakuten-CERTの枠組みに取り入れ、グローバルな情報交換や、インシデント対応フローを構築していく予定です。

このページの先頭へ

脆弱性情報の管理と運用について

日々、あらゆるアプリケーションやデバイスで脆弱性が発見されています。楽天では公開されている脆弱性情報を毎日収集し、対応が必要だと思われる脆弱性についてはRakuten-CERTのメンバーである各セキュリティ担当者へ連絡を取り、ヒアリングと対応措置をとるよう適切な指示をおこなっています。

対応が必要だと思われる脆弱性は、Rakuten-CERT事務局にてスケジュール管理をおこない、対応が完了するまでフォローを行っています。

このページの先頭へ