[pixiv × MoneyForward] セキュリティー合同勉強会レポ

こんにちは。
インフラエンジニアの飯田です。

4/19(水)に開催しました 「pixiv × マネーフォワード セキュリティー合同勉強会」 の様子をお伝えします。

勉強会をやる事になった経緯

「お金」というテーマをサービスとして提供しているマネーフォワードにとって、セキュリティは最重要課題です。

当然、日々セキュリティの強化に努めていますが、さらなる強化をするべく「バグバウンティー(Bug Bounty)」をやろうという話が持ち上がりました。

バグバウンティーとは、「自社サービスの脆弱性(バグ)を発見して、報告してくれた方に対し、報奨金を出す」という制度です。

日本ではそれほど普及していませんが、すでに LINEさん や サイボウズさん などで採用されています。(当社調べ)

そんな最中、私の古巣であるpixivがバグバウンティーを採用しているという記事を読んだ当社エンジニアが、

「飯田さん!!pixivさんに話聞いてみたんですけど、連絡とれます?」

と話があり、pixivのCTOである高山くんに相談したところ、

「せっかくだから勉強会しませんか?」

という、なんともありがたい申し出により、合同でセキュリティ勉強会を開催する運びとなりました。

はじまりの挨拶

今回の勉強会はお互いから3人ずつセキュリティーをテーマに話をしましょうという内容です。

まずは初めに当社エンジニアの岩市から、当日のタイムテーブルや、社内の設備に関する簡単な説明を行ってもらいました。


 
 

次に今回の場を設けさせていただいた私から、勉強会の趣旨や実施するに至った経緯などをお話させていただきました。

少し話がそれますが、今回の勉強会の準備は私と岩市の2人でほぼ行いました。
私がもうすぐ入社4ヶ月、岩市にいたっては2ヶ月ほどです。

すでに会社の規模もある程度大きくなり、スタートアップとは呼べないくらい人数もいるマネーフォワードですが

  • 「pixiv呼んで勉強会とかやって良いですか?」 → CTO中出「Go! Go!」
  • 「ちょっと司会やってくれないですか?」 → 岩市「良いですよ。どんどんやりますよ!」

といった感じで、入社して間もないメンバーでも、主体的に色々やらせてもらえるフットワークの軽さは、まだまだベンチャー感があるところだと思います。

勉強会くらいだったらそんなもんでしょ?
と思ってしまうかもしれませんが、「うちも会社が大きくなって色々身動きが取りづらくなった…」と日々感じてる人もきっと中にはいるのではないでしょうか。

個人的にはこういった部分でのスピード感は大事にして行きたいなと思っていますし、そういった部分がしっかりある会社で良かったなと思っています。
 

では話を戻して、今回の勉強会の発表内容をマネーフォワード分に限り、少しご紹介したいと思います。

「Vuls使って見た」鈴木 陽介

当社のトップバッターとして、私と同じタイミングで入社したインフラチームの鈴木から、脆弱性検知ツール「Vuls」に関する話をしました。

一般に公開されている脆弱性情報をいち早く収集し、対応が必要かどうか判断することは非常に重要です。

Vulsはその検知を自動化するために利用できるツールである事や、トリアージ(対応優先度の判断)を行いやすくするためには、どのような事を考えれば良いのかといった内容でした。

「全てがI(d)になる」鈴木 研吾

2番手は当社セキュリティエンジニアの鈴木から、「全てがI(d)になる」というタイトルで話をさせていただきました。

リモートワークといった働き方の多様化や、クラウドサービスの登場により、従来型の社内 or 社外、部署単位といった「ネットワーク(グループ)単位でのアクセス制御」だけでは、すでに権限管理が不十分になりつつあります。

これらの問題を解決するために、「ID(個人)毎に柔軟に認可(必要なアクセス権)を与える 」といった世界を実現していく必要がある、といった内容を解説しました。

当社でもリモートワークの取り組みが始まっており、当然必要となる取り組みと言えます。

また、これらを実現するためのツールの一例として、「GoogleのBeyond Corp」や「MicroSoftのAzure Access Proxy」について紹介しました。

「MINI Hardening Projectに参加した(仮)」中出 匠哉

最後に当社CTOの中出より、MINI Hardening Projectに本人自ら参加したお話をさせて頂きました。

ハードニング(Hardening) とは脆弱性を減らし、セキュリティを高め、システムを堅牢にする事です。

MINI Hardening Projectはセキュリティインシデントを疑似体験できるイベントで、事前に用意された脆弱性だらけサーバに次々に行われる攻撃に対し、短時間で対応するのを競い合うイベントです。

「日々のセキュリティ対策をしっかり行わなければいけないと、改めて実感させられた」と、今回の勉強会の締めに相応しい言葉を伝えさせていただきました。

マネーフォワードは、6月に沖縄で開催されます、より本格的なハードニングイベント「Hardening Project 2017」にも参画し、複数名のメンバーが参加する予定です。

懇親会

勉強会後は、用意してあったピザとお酒(実際の所は発表途中にもう乾杯してましたが)を楽しみながら、
ちょうど話題になっていた、pawoo の話をpixivの方にしていただいたり、
当社岩市から、両社のユーザ増加数の比較分析をお話をしたり、
色々な情報の交換を行いました。

私も久々に古巣のメンバーの近況などが聞けて、個人的にも非常に楽しめたイベントとなりました。

最後に

マネーフォワードでは、セキュリティエンジニアを募集しています。

マネーフォワードのセキュリティ基盤を共に支えたいエンジニアをWanted!
https://www.wantedly.com/projects/58908

ご応募お待ちしています。

【採用サイト】
マネーフォワード採用サイト
Wantedly | マネーフォワード

【プロダクト一覧】
自動家計簿・資産管理サービス『マネーフォワード』
Web
iPhone,iPad
Android

ビジネス向けクラウドサービス『MFクラウドシリーズ』
会計ソフト『MFクラウド会計』
確定申告ソフト『MFクラウド確定申告』
請求書管理ソフト『MFクラウド請求書』
給与計算ソフト『MFクラウド給与』
経費精算ソフト『MFクラウド経費』
入金消込ソフト『MFクラウド消込』
マイナンバー管理ソフト『MFクラウドマイナンバー』
資金調達サービス『MFクラウドファイナンス』

メディア
くらしの経済メディア『MONEY PLUS』

Pocket