脆弱性なおさないと攻撃しちゃうぞ～ CISOからの挑戦状 ～

Transcript

1. freee 株式会社 脆弱性なおさないと攻撃しちゃうぞ ～ CISOからの挑戦状 ～

2. 新卒で国内大手金融機関システム子会社に入社。 前半８年間に基幹系システムの開発を担当し、 銀行合併も経験。 後半５年間は研究開発部門の担当マネージャーに従事。 その後 freee に転職。 当初は 会計freee の記帳系、請求書系の開発を担当。

   兼務で CSIRT を担当し、 銀行提携に関わるセキュリティ調整を担当。 その後、CISOに就任。さらに CIO も兼任。 妻と子供２人と猫２匹との6人家族。 Teppei Tosa 土佐鉄平 freee株式会社 CISO 兼 CIO 2

3. Overview 3 　04　freeeらしいセキュリティ意識醸成方法を求めて 　03　Hardening Program 　02　freeeのセキュリティ対策全体観 　01　freee の紹介を通してセキュリティ担当がもつ恐怖を知っていただく

4. 01 freee の紹介を通して セキュリティ担当がもつ恐怖を知っ ていただく 4 Section

5. 96億603万円 (資本準備金等含む) 従業員数 事業内容 クラウド型バックオフィスサービスの開発・販売 代表者 代表取締役　佐々木 大輔 資本金 設立年月日

   2012年7月 ・クラウド会計 freee、人事労務 freee 会社名 freee株式会社 600名（2018年6月末時点） スモールビジネスに関わるすべての人が創造的な活動にフォーカスできるよう

6. 会計・給与共に法人シェアNo.1 6 クラウド給与ソフト 市場 40% クラウド会計ソフト 市場 35.2% 100万 事業所

   以上 10万 事業所 以上 * BCN調べ * MM総研調べ * 2017年8月より、クラウド給与計算ソフト freeeは、機能を強化し、新たに 「人事労務 freee」というサービス名に変更しました。 　

7. 中小企業と大企業の”付加価値額”の差は2倍以上 7 クラウド化も進まず、IT投資の原資も乏しい中小企業… 大企業との差は開くばかり 中小企業 大企業 1,307万円/人 558万円/人 出典：2017年版 中小企業白書

   ※大企業とは資本金10億円以上、中小企業とは資本金1億円未満の企業

8. 8 中小企業のクラウド化には大きな余地 40% 72% 中小企業 クラウド普及率 大企業 クラウド普及率 中小企業におけるクラウドサービス普及率は大企業と比べ大きな差がある 出典:

   平成28年度 通信利用動向調査 ※大企業とは資本金10億円以上、中小企業とは資本金1億円未満の企業

9. 予算編成/統制作業 9.8% 経営分析作業 8.8% 資金繰り管理作業 8.9% 他部門への確認・コミュニケーション 9.1% 発注書/請求書/納品書発行作業 8.8%

   取引と証憑書類の確認作業 8.9% 記帳業務 11.4% 振込作業 8.9% 消込作業 8.1% 売上債権管理作業 7.8% 経費精算作業 9.6% 付加価値を生み出す時間捻出の難しさ 9 経理担当者 日常業務 72.5% 日々のルーティン作業に 費やしている時間 ※従業員50名以上-300名未満企業の財務 /経理担当者による調査 （2017年2月、freee 実施のインターネット調査より） 　

10. 10 　 いつでもどこでも推測された仕訳をチェック

11. 最新テクノロジーでリアルタイムデータ収集 11 クレジット 金融機関 決済サービス 業務データ freee Core Engine

12. freeeはデータ連携金融機関数日本一の3,627行 更に、地域活性化・新規サービス創出に向け24の金融機関と戦略的業務提携を実現（2018年3月時点） 全国の金融機関と連携 12 ビジネス連携 創業支援 及び 業務コンサル 明細取得API連携 経営シグナル

    システム連携 振込API連携 クラウド会計データを活用した日本初のサービス 従来では2～3週間を要していた審査結果の受領が 最短で当日に短縮できる即日融資判断が実現 「〈はまぎん〉スーパービジネスローン」において、 freee上の会計データを事業者が簡単に銀行側へ共有し、 仮審査の審査時間を短縮と無担保融資を実現 融資サービス 自動消込

13. - FISC主催のAPI接続チェックリスト標準化のワーキンググループにfintech代表のうちの1 社として参加 - 今年も改訂のためのWGに参加中 FISC：API接続チェックリスト策定WGに参加 13 URL: https://www.fisc.or.jp/isolate/?id=919&c=topics&sid=356

14. - 金融機関サイトとスクレイピングやAPIを経由して、企業の生の経済活動情報を収集している - 今や Fintech 業界のセキュリティにおいて重要な位置付けを担っており、当社の失敗は業界全体に大き な悪影響が出かねない 恐怖 14

15. 15 　 あらゆるツールを用い証憑を電子取り込み 複合機・スキャナ 【API連携】 ファイル取込

16. 機械学習で文字認識した結果をチェックし高速処理 16 OCR結果 推測結果 OCR結果

17. - 金融機関サイトとスクレイピングやAPIを経由して、企業の生の経済活動情報を収集している - 今や Fintech 業界のセキュリティにおいて重要な位置付けを担っており、当社の失敗は業界全体に大き な悪影響が出かねない - 匿名化等の加工のしずらい生の画像データを大量に保持 恐怖

    17

18. 18 　 機械学習でモレ・ダブリ・ミスを自動検知（AI月次監査） 　【監査例】 ◦ 仕訳修正時の類似仕訳を推薦 ◦ 受取利息の源泉税未登録アラート ◦ 固定資産計上アラート

    ◦ 同期した明細の仕訳登録漏れ ◦ 源泉仕訳の登録漏れ ◦ 定期発生する仕訳の補助科目の入力漏れ

19. 自動で売掛金の消込を推測 19

20. 1010001110110101010101 0100010110101001010100 0100010011010101010100 10100010110010111010100 1010001110110101010101 0100010110101001010100 0100010011010101010100 10100010110010111010100 機械学習を用い作業の自動化を促進 20

    自動で経理 -テキスト情報処理- 銀行やクレジットカードなど、お金の管理をするサービスと連 携。日々の入出金情報を自動取得、さらに人工知能が仕訳 を推測し、業務量を大幅に削減可能に。 連続取引登録 -画像情報処理- 紙として発生してしまう領収書などは、OCR技術で分析。画 像データから、日付や金額、勘定科目を推測し、手入力の負 担を削減可能に。 機械学習で仕訳を推測し ルール化 決済サービス 預金データ クレジット POS・レジ 各種データ 推測 推測 推測 ＝金額：1840円 ＝日付：3月15日 ＝電話番号：旅費交通費 画像から文字を推測し ルール化 機械学習で モレ・ダブリ・ミスを検知 AI月次監査 -異常検知- 試算表及び月次推移の閲覧・確認時に「処理モレ、仕訳のダ ブリ・記帳ミス」を自動的に発見し、対処事項をリコメンド。 　

21. - 金融機関サイトとスクレイピングやAPIを経由して、企業の生の経済活動情報を収集している - 今や Fintech 業界のセキュリティにおいて重要な位置付けを担っており、当社の失敗は業界全体に大き な悪影響が出かねない - 匿名化等の加工のしずらい生の画像データを大量に保持 -

    機械学習を活用した機能提供のために、１箇所にデータを集約させておく必要がある 恐怖 21

22. 認定アドバイザーは制度開始4年で5,000事務所を突破 協力パートナー：5000を超える認定アドバイザー 22 東京共同会計事務所 (東京) アイジータックス税理士法人 (長崎) みどり合同税理士法人 (香川) 税理士法人横浜総合事務所

    (神奈川) 如水税理士法人 (福岡) 株式会社クイック・ワーカー (東京) ひょうご税理士法人 (兵庫) アイクス税理士法人 (静岡・鳥取) 税理士法人中山会計 (石川) 税理士法人カオス (大阪) 税理士法人ゆびすい (大阪) ひかり税理士法人 (京都) 篠原公認会計士事務所 (福岡) 山田ビジネスコンサルティング株式会社　常務取締役　久島 満洋 様 認定アドバイザー5千社到達、おめでとうございます。約 2年前は2千社でしたから、それだけ魅力あるビ ジネスを世に提供している証だと思います。 今、会計人材は採用難です。ITの活用は待ったなしですが、freeeさんと一緒に提案することで、ITの恩 恵を私たちもクライアント企業も受けることができます。今後、さらなる新サービスを期待しています。 TOMAコンサルタンツグループ株式会社　代表取締役社長　市原 和洋 様 働き方改革が叫ばれる中、多くの企業で取り組んでいるのが「長時間労働削減」です。労働時間を削減 しながら目標を達成するためには、 freeeのような入力作業や重複作業を削減できるシステムの活用が 必要だと考えます。freeeさんと一緒に、生産性が高く、働きやすい企業を１社でも多く創り出していきた いと思います。 アタックスグループ　代表パートナー　丸山 弘昭 様 会計事務所の認定アドバイザー数 5,000事務所突破おめでとうございます。 これも、貴社が提唱する価値基準や世界観が多くの会計人から支持された証ではないかと考えます。 今後も、革新的な製品の開発を通じて、全国の中小企業、会計事務所の生産性改善と向上に寄与いた だけることを心より期待しております。 辻・本郷税理士法人 (東京) アタックス税理士法人 (愛知)

23. アドバイザー事業所アカウント 事業所アカウント アドバイザー事業所アカウントに所属するアドバイザー（ユーザー）を 一般事業所アカウントに招待して、会計データを扱ってもらうことが可能 アドバイザー機能の概要 23 ユーザー ユーザー アドバイザー アドバイザー

    招待

24. 　 クラウド上で仕訳や証憑単位でピンポイント確認 24 このレシートは 何の用途ですか？ 送信 受信 送信 受信 架電

    不通 このレシートは何でしょうか？ 取引先との打合せの際に使った 飲食代です 従来 freee すみません どのレシートか わかりません

25. - 金融機関サイトとスクレイピングやAPIを経由して、企業の生の経済活動情報を収集している - 今や Fintech 業界のセキュリティにおいて重要な位置付けを担っており、当社の失敗は業界全体に大き な悪影響が出かねない - 匿名化等の加工のしづらい生の画像データを大量に保持 -

    機械学習を活用した機能提供のために、１箇所にデータを集約させておく必要がある - アドバイザー招待周りなど、複雑な認可制御を実装する必要がある 恐怖 25

26. 進まないインターネットバンキング普及 26 ネットバンキング 利用有無 40.8% インターネットバンキング 利用率（法人） 法人IB利用　40.8% ※Web調査のため実際の利用率は 　調査結果より低いことが想定される

    利用なし　49.6% 認知なし　9.7% 　 出典：インターネットバンキング利用調査 990社回答 　　（2016年5月、freee実施のインターネット調査より） 59.2% 手作業で記帳を行う 必要あり

27. 領収書・通帳のスキャンから明細化までをfreeeにアウトソーシング 領収書/通帳データ化サービス 27 和食処freee新宿店 株式会社そごう武西袋 寿司TOKYO築地本店 株式会社八重洲タクシー セブンイレブン五反 DAISO西五反田店 領収書/通帳受領

    freee上で申込→封筒に送付状を貼り付け 自動仕訳 納品データを確認し、自動で経理で仕訳処理 freeeへ郵送 freeeがスキャン/明細化を実施

28. - 金融機関サイトとスクレイピングやAPIを経由して、企業の生の経済活動情報を収集している - 今や Fintech 業界のセキュリティにおいて重要な位置付けを担っており、当社の失敗は業界全体に大き な悪影響が出かねない - 匿名化等の加工のしづらい生の画像データを大量に保持 -

    機械学習を活用した機能提供のために、１箇所にデータを集約させておく必要がある - アドバイザー招待周りなど、複雑な認可制御を実装する必要がある - 手作業が挟まざるを得ない、大量の顧客情報を扱うオペレーション代行サービスを提供している 恐怖 28

29. - 金融機関サイトとスクレイピングやAPIを経由して、企業の生の経済活動情報を収集している - 今や Fintech 業界のセキュリティにおいて重要な位置付けを担っており、当社の失敗は業界全体に大き な悪影響が出かねない - 匿名化等の加工のしづらい生の画像データを大量に保持 -

    機械学習を活用した機能提供のために、１箇所にデータを集約させておく必要がある - アドバイザー招待周りなど、複雑な認可制御を実装する必要がある - 手作業が挟まざるを得ない、大量の顧客情報を扱うオペレーション代行サービスを提供している ベンチャーらしくリスクを取りつつ、 高いレベルのセキュリティを実現しないといけない 恐怖 29

30. 02 freee の セキュリティ対策の全体観 30 Section

31. セキュリティ対策を「勇者」に見立てて社内共有 31 心 セキュリティを高めようとするマインド 頭 セキュリティに関するノウハウ蓄積、リスク評価運用、 考え方（サイバーセキュリティフレームワーク等） 目/耳 情報収集能力、コミュニティへの参加 武器

    顧客・対外アピールできる要素。第三者認証等。 腕力 セキュアアプリケーション開発能力。脆弱性診断。 防具 サイバー攻撃対策、オペミス/内部犯行対策 体幹 倒れない力。インシデント対応能力。 足腰 もっとも大事なもの。従業員のセキュリティリテラシー。

32. セキュリティ対策を「勇者」に見立てて社内共有 32 足腰 もっとも大事なもの。従業員のセキュリティリテラシー。 - 全従業員の入社初日にセキュリティ研修を実施 - 部署毎に異動時・新入時に部署オリジナルのセキュリティ研 修を実施 -

    ２−３ヵ月に１度、オンラインでの理解度チェックテスト相当の ものを実施。

33. セキュリティ対策を「勇者」に見立てて社内共有 33 体幹 倒れない力。インシデント対応能力。 - ログ収集、ログ分析機構の整備 - インシデント検知機構の整備 - 対象エンドポイント特定機構の整備

    - インシデント対応手順の整備 - 標的型攻撃訓練などのインシデントトレーニング （GoPhishで内製化）

34. セキュリティ対策を「勇者」に見立てて社内共有 34 防具 サイバー攻撃対策、オペミス/内部犯行対策 - 各種接続制限 - アンチウィルス対応 - IDS/IPS、WAFの活用

    - オペレーションログ監査 - VPN、ファイヤーウォールなどの活用

35. セキュリティ対策を「勇者」に見立てて社内共有 35 腕力 セキュアアプリケーション開発能力。脆弱性診断。 - ツールベースの脆弱性診断内製化 - 業者による脆弱性診断 - セキュア開発トレーニング（Hardening）

    ※ 後述

36. セキュリティ対策を「勇者」に見立てて社内共有 36 武器 顧客・対外アピールできる要素。第三者認証等。 - TRUSTe認証 - SOC1 ISAE3402/SSAE18 type1

    レポート - メガバングAPI接続

37. セキュリティ対策を「勇者」に見立てて社内共有 37 目/耳 情報収集能力、コミュニティへの参加 - NCA等参加 - JPCERT/CC 早期警戒情報取得 -

    各種SNSフォロー

38. セキュリティ対策を「勇者」に見立てて社内共有 38 頭 セキュリティに関するノウハウ蓄積、リスク評価運用、 考え方（サイバーセキュリティフレームワーク等） - セキュリティに関するノウハウ蓄積 - システム・オペレーションリスク評価運用 -

    サイバーセキュリティフレームワーク活用 - Cyber Kill Chain

39. セキュリティ対策を「勇者」に見立てて社内共有 39 心 セキュリティを高めようとするマインド - セキュリティを目的とせず、カスタマートラストを目的とする 意識づけ、啓蒙運動 ※ 後述

40. 03 Hardening Program 40 Section

41. Hardening Program とは 41 - バキバキに脆弱にしたサービス（マイナンバー管理freee）を修正・強化 （hardening）する研修プログラム。 - 身近なサービスの Hardening

    を通して、実践的なセキュア開発力を身につけてもらったり、 実際に攻撃受ける体験を受けることでセキュリティ意識をより醸成してもらうことが目的。

42. 42 Hardening Program 開催までの道のり - きっかけは speee さんのブログ - 当社も2017年末〜2018年初にかけて優秀な

    セキュリティエンジニアが入社 - 2018/4に2期目の新卒エンジニア入社を控え、 新卒エンジニア研修の準備が必要に - この機に既存エンジニア向けにも行える Hardening Programを構築することに。 - アプリケーション規模が比較的小さく、 且つセキュリティレベルの高い情報を扱う 「マイナンバー管理freee」を題材に プログラムを構築 - 2018/4の新卒向け実施に続き、7月には既存エンジニア向けにも開催予定。 以降、四半期毎に開催していく予定。

43. 43 Hardening Program Schedule 1.5日 0.5日 0.5日 0.5日 座学・ルール説明 修正期間

    攻撃 解説

44. 44 Enviroment ４人 x ２チームに分けて実施 高スペックPCに VMWare で環境構築 Private Network

    Shared System：zzz.zzz.zzz.zzz 会計 認証基盤 DB 人事労務 KVS Team A システム xxx.xxx.xxx.xxx application Team B システム yyy.yyy.yyy.yyy application 攻撃者 攻撃 ユーザX 登録 閲覧 ユーザY 登録 閲覧 通常 利用

45. 45 Rule Regurations - サービス機能を維持すること - 情報漏洩を防止すること - 意図せぬ変更を阻止すること -

    他のチームを攻撃しない - 診断ツールは使わない - 元のソースコード参照禁止 - 脆弱性の内容については口外禁止 - 攻撃手法を外で試すのダメ絶対 Score - サーバ稼働率 - サービス機能維持するのが、大前提 - 脆弱性報告数 - 直して終わりではない。きちんと情報共有す ることが本当の脆弱性対応。 結果は両チーム１勝１敗の引き分け

46. 46 振り返り 受講サイド - 「ボコボコにされた。難しかった」 - でも新卒で半分程度の脆弱性を修正できてたので、思った以上に優秀というのが運営 サイドの感想 - 「実際に攻撃を受ける、情報を抜かれるの感覚がやばい」

    - 当初想定してなかった効果。セキュリティ意識の醸成に効果的な活動だと判った 運営サイド - 評価時間中に、正常稼働評価と攻撃を両方やるのは忙しすぎた - 正常稼働評価のためのE2Eテストとその集計の自動化をやるべきだった - 座学のコストパフォーマンスは悪い - 次回以降は座学の時間を取らず、参加要件スキルとして、書籍やWEBドキュメントを紹 介することに。 - 脆弱性を仕込むのに思った以上に工数がかかり、Rails、AWSを使うというだけでこれだけ セキュアになるのかと改めて実感

47. 04 freeeらしい セキュリティ意識醸成方法を 求めて 47 Section

48. - 「セキュリティ対 策はやらなければいけないこと」とい うだけでは、オープンでフラットな freee の組織では 本当の意味でセキュリティ意識が醸成されたとは言 えない。 - セキュリティの先にある「カスタマートラスト」こそが目

    指すべきものであり、さらにその先の「カスタマーサク セス」に繋がる - 「カスタマーサクセスへの道は、トラストで敷き詰めら れている」 セキュリティが目的ではない カスタマートラストが目的 48

49. カスタマートラスト運動 49 カスタマートラストマガジン - セキュリティに限らず、オペレーション品質や顧客との接し方で、高い意識を持って取り組 んでいる社員にインタビューし、記事として社内に共有。 トラスト価値基準 - カスタマートラスト面での行動指針を、一つの言葉に集約した価値基準を策定中

50. ご清聴ありがとうございました 50 　04　freeeらしいセキュリティ意識醸成方法を求めて 　03　Hardening Program 　02　freeeのセキュリティ対策全体観 　01　freee の紹介を通してセキュリティ担当がもつ恐怖を知っていただく

51. 51 スモールビジネスに関わるすべての人が 創造的な活動にフォーカスできるよう