事故を起こさないためのセキュリティオペレーション

楽天ではセキュリティ事故を起こさないために、日常のシステム運用オペレーションにおいてもいくつかの施策を図っています。

楽天のシステムについて

楽天のWebサービスでは数千台のサーバが稼動しており、常にインターネット上の脅威にさらされていると言っても過言ではありません。

巨大な楽天のシステムのセキュリティを維持することは簡単なことではありませんが、全社員がセキュリティについて適切な知識と知恵を用いて、みなさまにあんしん・あんぜんなサービスを提供できるよう日々努めています。本ページでは楽天のシステムをあんしん・あんぜんに運用するために、楽天がどのようなオペレーションをおこなっているかのご紹介をしたいと思います。

Rakuten-CERTについて

楽天では以下のようなプロセスを経て、サービスのリリースを行っています。

Rakuten-CERT組織構成図
Rakuten-CERT組織構成図

Rakuten-CERTの重要な役割の一つとして、外部との情報交換窓口があります。組織内での横断的な情報共有の展開も非常に重要な機能ですが、他社との企業間でも利害関係を超え、コンピュータセキュリティに関する情報を共有するようにしています。

その活動の一環として、Rakuten-CERTは、日本シーサート協議会とFIRST(Forum of Incident Response and Security Teams)へ加盟しており、積極的に外部との情報交換を行っています。

FIRSTのロゴ

FIRSTのロゴ

日本シーサート協議会のロゴ

日本シーサート協議会のロゴ

Rakuten-CERTの今後

楽天は日本だけでなく世界各国で事業を展開していきます。各国拠点の支社やグループ企業でもRakuten-CERTの枠組みに取り入れ、グローバルな情報交換や、インシデント対応フローを構築していく予定です。

脆弱性情報の管理と運用について

日々、あらゆるアプリケーションやデバイスで脆弱性が発見されています。楽天では公開されている脆弱性情報を毎日収集し、対応が必要だと思われる脆弱性についてはRakuten-CERTのメンバーである各セキュリティ担当者へ連絡を取り、ヒアリングと対応措置をとるよう適切な指示をおこなっています。

対応が必要だと思われる脆弱性は、Rakuten-CERT事務局にてスケジュール管理をおこない、対応が完了するまでフォローを行っています。