脆弱性診断技術やサイバーセキュリティに関する情報を発信するブログメディア

クラウド時代のセキュリティ対策とはーー “セキュリティ”と“AWS”のプロがタッグを組んで実現する未来像

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共にゲストを他社からお迎えし、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第2回をお送りします。

 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。2018年からはサイバー攻撃をゲーム感覚で楽しむプロジェクト「Micro Hardening」で全国ツアーを開催するなど、サイバーセキュリティに関するコミュニティ活動にも長年貢献してきた人物です。

 今回の座談会に登場するイエラエセキュリティのメンバーは、アセスメントサービス部の安里悠矢。2017年より立ち上がった沖縄オフィスのメンバーであり、セキュリティ関連のコミュニティ活動にも長年、積極的に参加しています。そして第2回目のゲストは、AWSクラウド、音声AI技術、IoT、モバイルアプリ、ビッグデータに注力したコンサルティング、システム設計運用を行い、APN Consulting Partner of the Year 2018を受賞した、クラスメソッド株式会社(https://classmethod.jp/)より、執行役員 AWS事業本部 本部長である佐々木大輔氏をお招きしました。

 クラウドでのシステム開発、アプリケーション開発が当たり前になりつつある今、クラウド時代の新たな脆弱性とは、そしてセキュリティ対策とは、一体何なのでしょうか。顧問・川口洋がお二人と共に、この疑問を解き明かしていきます。どうぞお楽しみください!

イエラエセキュリティ顧問/株式会社川口設計 代表取締役

川口 洋

2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、一般国民向け普及啓発活動などに従事2018年 株式会社川口設計 設立。Hardening Projectの運営や講演活動など、安全なサイバー空間のため日夜奮闘中。

株式会社イエラエセキュリティ アセスメントサービス部

安里 悠矢

SIerにてフルスタックエンジニアとして働いた後、2018年4月にイエラエセキュリティ入社。アセスメントサービス部にて、主にWebアプリケーションの脆弱性診断業務に従事。個人では、JAWS-UG沖縄支部コアメンバーとして活動し、AWSでのセキュリティ対策や啓蒙活動を推進。また、セキュリティミニキャンプやOWASP沖縄にて積極的に登壇している。好きな飲み物はメロンソーダ。

クラスメソッド株式会社 執行役員/AWS事業本部 本部長

佐々木 大輔

北海道札幌市にてネットワーク/セキュリティエンジニアとして働いた後、2014年1月よりクラスメソッド株式会社でシニアソリューションアーキテクトとして勤務。2015年7月より同部部長。2018年7月より執行役員。Amazon Web Servicesの総合支援サービスである「クラスメソッドメンバーズ」事業に関するビジョン策定と意思決定、パートナーアライアンス、マーケティングに従事。好きな寿司ネタはえんがわ。

“クラウドが当たり前の時代”に、AWSに100%特化している“強み”

川口洋(以下、川口):本日はお集まりいただきありがとうございます。まずはお二人のお仕事について伺っていきたいと思います。

安里悠矢(以下、安里):イエラエセキュリティの安里悠矢です。2017年くらいからいくつかの勉強会に参加していたところ、OWASP沖縄チャプターで今の上司にあたる島尻さんとお会いしたのがきっかけで、お声がけいただき、2018年4月にジョインしました。イエラエセキュリティは「セキュリティ診断」に特化した会社ですが、その中で私は主にWebアプリケーションの脆弱性診断に関わっています。

川口:安里さんは今、沖縄に住んでますよね。

安里はい、基本的には沖縄にいます。月に1回くらい東京に来て、お客様を訪問しています。お客様から「診断だけでなく報告会までしてほしい」とご依頼があれば、先方に伺って、報告書をベースに、使ったツールの説明や脆弱性のデモンストレーションをしたりしています。

川口:一方で、佐々木さんは北海道にお住まいがあります。

佐々木大輔(以下、佐々木):北海道がメインです。東京は別宅(笑)。

川口:両社とも北海道にも沖縄にもオフィスがある会社ということで、仲良くやれるところがありそうですね。イエラエセキュリティもクラスメソッドも、世の中でいう「働き方改革」を体現してる会社さんだなと思っています。どこでも働けるし、必要ならどこでも行く。そんなお二人に、わざわざ東京に来ていただいて、今日は座談会を行っています(笑)。

ではゲストの佐々木さん、クラスメソッドという会社が何をしているのか、というところから説明をお願いします。

佐々木クラスメソッドの佐々木大輔です。弊社はAWSを中心に、様々なソリューションやサービスを使ってお客様の支援をする会社です。BtoBのビジネスがメインで、企業向けのサービスを提供しています。

具体的に何を提供しているかというと、AWSの使い方に関するコンサルティングや、AWSを使用したシステムの構築や運用・監視です。それに加えて、AWSを活用したモバイルアプリの開発やビッグデータ分析、AIサービスを使ってお客様の支援をしたりもしています。

川口今はみんなクラウドに移っていっていて「クラウドが安全かどうか」と議論する時代は過ぎましたね。世界のクラウド事業者の中でAWSが半分くらいのシェアを握っていると聞いています。Amazonのサービスを全く使わなかったら、いまの人間は生活が成り立たない、ということを書いている海外のライターの方もいました。

佐々木そうですね。2、3年前からずっとクラウドファーストって言われてますけど、そういうお客様が増えてきました。東京や大阪の都市圏のお客様は「物を持つこと」自体がナンセンスと考えて、オンプレミスではなくクラウド前提で要件定義していくケースが多いですね。

官公庁も去年(2018年)くらいからクラウドファーストに切り替え始めているので、ほぼどんなシステムも、まずはクラウドの検討から入って、クラウドが難しいからオンプレミスにしよう、という流れにきていると思います。

川口表面的には目に見えなくても、実はあそこのサイトもここのサイトもAWSなんだよ、という会社は沢山あるわけですが、クラスメソッドでサポートしている企業の中で、AWSの事例としてお話しいただけるところはありますか。

佐々木飲食業界でいえばスシローさん、スターバックス コーヒージャパンさんですね。モバイルアプリ開発もいくつかやってますし、ビッグデータ分析もやってるし、通常の業務システムのインフラもやってます。医療分野だと、ココカラファインさんは結構ガッツリやらせていただいていて、モバイルアプリ開発や、ビッグデータ分析、システムインフラも含めて全部やらせていただいています。

川口:クラスメソッドは、AWS以外のクラウドは扱っていないんですか。

佐々木:AWSが100%です。AWSのパートナーでAWS専業でやっている会社って、たぶん珍しくて、普通はマルチクラウドでやることが多いですが、弊社は100%、AWSでやっています。

川口:AWSに強いイメージはずっとあったんですが、100%注力していたんですね。

佐々木全振りしてます(笑)。これはうちの会社のポリシーなんですが、様々なクラウド技術をちょっとずついろいろやるより、なにか一つのモノに注力したほうが能力も上がるしパフォーマンスも出ると思っているんです。

川口:わかる気がします。AWSって、サービスや機能が沢山ありすぎて、進化もものすごく早いので、自分もついていけてない感じがあります。

佐々木現時点(※2019年3月時点)でAWSには165個のサービスがあります。それを全て覚えるだけでも難しいのに、そこに加えて他のクラウドを覚えるなんて、普通のエンジニアが1人でやるのは到底、無理ですよね。

また、それぞれのエンジニアは、AWSの中の得意分野に特化した形で使っています。例えばビッグデータが得意なエンジニアはAWSのビッグデータ系のサービスを使いますし、AIが得意なエンジニアはAWSを使ったAI系のサービスに注力しています。

川口「クラスメソッドメンバーズ」(https://classmethod.jp/services/members/)というAWS総合支援サービスがありますよね。環境構築から運用までまとめてやりますよ、というのは、お客様からしたらありがたいサービスだろうな、と思って見ていました。実際のところ、社内での業務としては開発と運用があると思いますが、開発している方が多いんですか。

佐々木部署によって比重は違いますが、一般的なWebシステムや業務システムの開発は弊社では行っていません。開発をしているのは、モバイルアプリケーションとサーバーレス、そしてAIです。私の部署(AWS事業本部)はインフラ部分だけなので、AWSのインフラに関わるコンサルティングや環境構築がメインで、アプリケーションの開発はしていないです。

また、弊社はあくまでAWSに詳しい会社なので、AWSの部分だけを担当して、その他の部分、例えば業務システムは、業務システムに強いSIerや開発会社と組んで開発しています。自分達だけで全ての領域をサポートするのは無理なので、それぞれ得意分野が違う会社と一緒にお客様を支援する形ですね。

川口:今のクラスメソッドにおける佐々木さんの役割は何になるんですか。

佐々木:AWS事業全体の取りまとめになります。事業計画を策定したり、サービスの方向性を決めたり、マーケティングの方向性を決めたり。AWS事業の全体ですね。会社でいうと3分の1位で、残りはモバイルやビッグデータをやっています。

クラウドでの脆弱性の多くは“載せるシステム”に問題がある


川口
:イエラエセキュリティとクラスメソッドは今年(2019年)2月にアライアンス強化のリリースを出しました(https://classmethod.jp/news/ierae/)。
この2社が協業することになったのは、どんなご縁からだったんでしょうか。

佐々木元々は弊社のセキュリティ系のメンバーがイエラエの社員の方と知り合いで、弊社のビジネス上でセキュリティ診断が課題になった時に、お声がけさせていただきました。

川口:安里さんは普段診断業務をされていると思いますが、クラウドサービスを使っている案件で、お客さんの診断をしていて問題が起こった、分かりやすい事例というのはありますか?

安里大前提として、基本的にAWSそのものは堅牢なんです。AWS自体の安全性には全然問題がなくて、むしろAWSの上に載せたシステム、構築したサービスに脆弱性があるケースが多いです。

クラウドならではの脆弱性というよりは、クロスサイトスクリプティングとか、SQLインジェクションとか、今までオンプレの時に動いていたときから出ていた脆弱性がそのまま出てくるパターンが多いですね。結局サービスは人間が作っているので、脆弱性は何かしらできてしまうんですよね。

事例としてよく見られるものとしては、アプリからお金を支払ってコンテンツをダウンロードさせたいはずなのに、無課金でダウンロードできてしまうという脆弱性ですね。Amazon Simple Storage Service (Amazon S3)(https://aws.amazon.com/jp/s3/)の権限設定と権限管理がうまくできていなかったり、ダウンロードするコンテンツに署名付きのURLが入っていなかったりして、お金を払わずともコンテンツをダウンロードできるケース。さらには、公開設定になっているS3バケットに本来見られてはいけない情報が含まれているケースもたまに見かけます。

佐々木一番使われているサービスであるが故に、一番事故が起きやすいとも言えます。AWSを使う人でS3を全く使わないお客様はほとんどいないくらい、ベースとなるサービスですから。大きなコンテンツファイルを置いたりログを置いたりするときは、取り敢えずS3を使っておこう、というような状況ですよね。

最近はAWS側での権限設定がだいぶ使いやすくなって、アラートを出してくれたり、外部公開をすることが簡単にできないようになってきたんですが、うっかり間違えて外部公開してしまっていて、本来プライベートにあるはずのデータが流出するケースはよくあります。

川口S3って「オブジェクトストレージ」(https://aws.amazon.com/jp/what-is-cloud-object-storage/)でしたよね。オンプレでは扱う機会が無いから、リテラシーが無いというか、管理する意識が低いんでしょうか。

佐々木オンプレミスでは、外部からアクセスできるケースを考える必要がなかったんですよね。でもS3は、基本的にインターネットからhttpsでアクセス可能な状態なので、権限管理すれば安全に使えるものを、今までのストレージと同様にフルアクセスのままインターネットにポンと繋いでしまって、漏えいしてしまう事例が多いですね。

たった15分でパスワード漏えい。AWS公式の警告より早い攻撃者の脅威


佐々木
:あと、事例として多いのはIAM(アイアム)(https://aws.amazon.com/jp/iam/)の管理ですね。アクセスキーの管理ができていなくて、アクセスキーが漏えいするという事例は多いです。

川口私もよく相談を受けます。クラウドのAPIの鍵や認証の鍵がどこかに入っていて、セキュリティが破られてしまうケースは多いですね。例えばGitHubみたいに外から見える場所にあったり、Slackで鍵を共有していたらSlackを悪い人にウォッチされていて漏れてしまった、という酷い話もありました。

安里今は、AWSサービスのSTS(Security Token Service)にアクセスして、ワンタイムトークンを受け取ってからAWSのサービスにアクセスするのが主流になっていますね。
でも、本来外部に持っていないといけないような認証情報を、内部に埋め込まないといけないような仕組みで組まれているプログラムもあるんですよね。

佐々木GitHub経由の漏えいも同じような状況です。ソースコードにアクセスキーを書きこんじゃっているとか、アクセスキーのファイルをレポジトリに置いちゃって、プッシュで一緒に送っちゃったりするケースは多いですね。

川口:怖いですね。悪い人がGitHubでそういう情報を探してるという話も聞きます。外のサービスに置いたら、ほんの一瞬の間に取られちゃう。そんな抜け目なくやられちゃうの?って思いますけど。

安里「認証情報が含まれてるログをGithubへPUSHしたら、15分くらいで誰かがそのキーを使用した」というニュースを見たことがあります。
参考情報:https://qiita.com/saitotak/items/813ac6c2057ac64d5fef

AWSもGithub上のリポジトリをクローリングして、鍵がアップされていたらユーザーに通知しているようですが、攻撃者はそれより早かったりするんですよ。読んだ記事によれば、AWSの警告通知は約1時間くらいで来たそうなんですが、攻撃者は約15分でアクセスしてきたということです。

川口鍵の管理、認証情報の管理はとにかく重要ですよね。オンプレミスで、内部で使われていたシステムって、パスワードがしょぼいことが多いじゃないですか。ファイアウォールで守られていた、緩いセキュリティ意識のままでクラウドに行くと危ないですよね。

今は、データは手元じゃなくてクラウドという「向こう側」にあるようになっている。便利なものではありますけど、鍵の管理が重要と認識していないエンジニアが使うと、恐ろしいことになりますね。鍵を「どこに置くか」が、やはり重要なんでしょうか。

安里:もちろんそれも重要ですが、鍵が複雑な文字列になっているかということや、管理画面をそもそも外から見えないようにすることも重要です。

川口:インターネットからアクセスできる場所に管理画面を出してるケースってけっこうありますよね。パスワード付けてるから大丈夫です!という感じで。

安里:/wp-adminとか、/adminとか、/managerをURLの末尾に入れてアクセスすると管理画面が出てきちゃうとか・・・。

川口WordPressですね(笑)。最近も、IDとパスワードの組み合わせリストが何億と流出してます、というニュースが話題になりましたから、そういうのが悪用されたりするかもしれないですよね。

安里管理者があるサービスで使っていたIDとパスワードがあったとして、そのサービスでID・パスワードが流出して、同じパスワードを使ってる別のサービスが攻撃されたら、侵入できてしまいますからね。

最近は、クラウドに上がってるものはだいぶ減ってきているんですが、オンサイトで診断をやると自社内でしか使ってないからIDやパスワードが簡単なものになっていて、侵入できたという事例があるようです。

川口:あるあるですね。いつまで経ってもパスワードの問題は出てきますね。ちなみに、AWS自体の管理画面にログインされて攻撃を受ける話って、まだあるんですか。

佐々木いまはAWSの管理画面にログインするときにMFA(多要素認証)を使うケースが増えていますから、減っているんじゃないでしょうか。弊社のお客様にはすべてMFAを設定してもらうようにしています。最近は、FacebookやTwitter等、一般的なSNSがMFAを導入し始めて、MFA自体がメジャーになりましたよね。これは大きな変化でした。こういう設定をしっかりできていることが大事だと思います。

川口:MFAでおススメのアプリはなんでしょう。クラスメソッドでは何を使っていますか?

佐々木ハードウェアトークンのMFAでAWSに対応しているものが日本では販売していないので、うちはスマホアプリです。1つの環境でしか使わない場合はGoogle Authenticatorでもいいと思うんですが、複数の環境で使用する場合はAuthy(https://authy.com/)がおススメですね。

川口:自分も昔はGoogleのMFAを使ってたんですけど、スマホを変えたときの移行に苦労したんですよね。安里さんは何を使ってますか?

安里Google Authenticatorを使っていて、バックアップに関しては、復旧用のQRコードを1Password(https://1password.com/jp/)に入れています。AWSの2段階認証のコードは、無くすと再発行が大変なんですよね。

佐々木お客さんから「MFA使えなくなりました」と言われるようなケースだと、ルートアカウントから解除しないといけなかったり、面倒なこともあります。そこは「無くさないようにお願いします」ということで……。

川口なかなかそういうことが管理されていなくて、スマホを紛失したとか、壊れる、といったケースはありますよね。MFAの情報が無くなった時にどうするべきかも広まっていくといいですね。

ちなみに役所では、まだMFAって言葉を聞いたことがないですね。そもそも導入するかどうかという議論そのものが無いんです。全てオンプレだと思っていて、決められたサーバーで作業して、場合によっては人もそこに張り付いていたりします。そう考えると「MFAを使う文化」みたいなものが広まっていくことは、すごく重要だなと思います。

これから望まれるのは“クラウドならでは”の脆弱性を組み込んだ運用演習

川口:安里さんは、個人で、AWSを使ったサイバー演習を提供されていますよね。

安里はい、2018年のJAWS-UG沖縄支部で、Hardening Project(リンク:https://wasforum.jp/hardening-project/)に近い内容をやりました。事前に私が脆弱なECサイトを作っておき、勉強会したメンバーにチームでそのECサイトを運用してもらいます。ECサイトは脆弱性を突かれた攻撃を受けると停止しますので、その原因を突き止めて復旧を行ってもらう、という演習になっています。

さらに、商品を定期的に購入するためのクローラーを配置していて、売り上げをチーム単位で競ってもらっています。これまでにこの演習は2回開催していて、1回目は2017年のセキュリティミニキャンプ、2回目はJAWS-UG沖縄で開催しました。

参考情報:https://jaws-ug-okinawa.doorkeeper.jp/events/83048

川口:演習時間はどれくらいですか?

安里:2時間半~3時間くらいです。最後の30分でネタばらしをします。

川口:何ていう名前のHardeningですか? 付けてないなら、今付けましょうよ(笑)。

安里:ええと、じゃあ、「328(みつや)Hardening」で。328っていうのは、僕が中学くらいから使ってるハンドルネームなんです。

川口:「328 Hardening」いい名前ですね! これは、イエラエに依頼したらトレーニングとして提供してくれるんでしょうか。

安里:今は個人の私物なので、会社が「提供したい」ということになったら、考えます。

川口実はAWSを使った演習ってあまりなくて、MINI Hardening(https://minih.wasforum.jp/)か328 Hardeningしかないわけですから、重要なトレーニングのひとつだと思います。「AWS使いたい人は、328 Hardeningを受けとけ」ってなるんじゃないかな。そうなった時に、会社の公式なトレーニングになればいいのにって、見てて思ったんですよね。

安里:確かに、うちは診断のメニューは多いですが、トレーニング的な演習のメニューがないですよね。

川口診断を推していますからね。でも、お客さんから要望があれば、そういうメニューがあってもいいんじゃないですか。ちゃんと運用できるかどうか、というのは重要なことですからね。ちなみに、ネタバレになっちゃうかもしれませんが、S3バケットの権限管理とかはシナリオに入ってるんですか?

安里現状は全く入っていなくて、AWS上に環境を作っているだけなんです。AWSは「壊して作って」が、すごくやりやすいので。環境のテンプレさえ持っておけば、いつでもすぐに展開できるのがクラウドの強みなので、クラウドを使って演習環境を構築しています。

川口:いつか、クラウドならではの機能を組み込んだ演習をやりたいと個人的には思ってるんです。大事なことだなと思っていて。

安里:僕も、次の機会があれば、クラウドならではの脆弱性を演習に組み込んでいきたいですね。

クラウド移行時は「クラウドネイティブ」な発想で設計・開発を

川口:今後、クラウド環境は間違いなく増えていくと思いますが、依頼する側や委託を受ける開発事業者がオールドタイプの場合、仕様書を書く段階ではクラウドの最新事情などが視野に入っていないことがあります。従来のシステム構築の常識のままクラウドに移ってきて、「クラウドって安くなるんじゃないの?」と言われてしまったり……。

「クラウドが当たり前じゃない」人がクラウドを使うにあたって気を付けた方が良いことというのは、どんなことでしょうか。

佐々木公共系と民間系で大きく違いますね。特に公共系の入札案件でクラウドを使う場合、大きく分けると2つのパターンがあります。

1つめは、完全従来型のシステムをEC2で使うだけ、みたいなパターンです。「わざわざAWS使う必要ありますか?」というような内容ですね。この場合はデータセンターを使う代わりにAWSをサーバーとして使うくらいで、AWSを活用しているとは言えませんが、案件の難易度としては難しくない。

もう1つのパターンは、クラウドに詳しいコンサルタントが入ってきて業務システムをサーバーレスに置き換えただけのもの。こちらはAWSをバリバリ使っている夢のある構成なんですが「これ、サーバーレスにする必要あるんですか?」という内容です。案件によっては「EC2を使った方が効率良いよね」というケースもあるんですよね。

我々みたいな立場に要件定義の段階から相談して頂けたら、いい設計ができるんですが、出てきた仕様が極端にサーバーレスだったり、極端にEC2だけみたいなケースが多くて、やりにくいことがありますね。そこのバランスが難しいです。最近、公共系の入札仕様を見ると、そういうクセのある仕様が増えてきているように思います。

川口:業務を考えずに「とりあえずクラウド使おう」「AWS使わないと」という前提だと、そうなってしまいますよね。

佐々木民間系はまた事情が異なっていて、「ハードウェアのリース切れやデータセンターの契約切れに合わせて業務システムを何とかしなければいけないが、仕様を変えられない」「開発できる人もいなくなっていて、そのままAWSに移行したい」というような、既存システムを延命させなければならないパターンが多いです。

このパターンではAWSを活用できず、サーバーや業務システムをそのまま乗せるだけなので、セキュリティ上のリスクも内包したままとなってしまいますので、あまりAWSに換えるメリットが無いんですね。例えば、セキュリティパッチが当たってないシステムをそのまま持ってきたり、古いバージョンのJavaで開発したシステムをそのまま使ったりするんです。それならオンプレミスでもいいしVMWareでもいいし、仮想サーバーでもいいんですよ。

既存のシステムをそのままAWSに乗せ換える、いわゆる「リフトアンドシフト」で移行するベンダーさんも多いとは思うんですが、うちは基本的にお勧めしないです。4年くらい前に、WindowsNTをAWSに移行したいという話があったのですが、「さすがにそれは無理だ」とお断りしました(笑)。しっかりAWSのいろんなサービスのメリットを取り入れていくことが、AWS活用においては重要なポイントかなと思います。

「クラウドネイティブの設計に作り替えるべきです」と提案しても、お客様の予算の都合や、システム開発したSIerさんがもういなかったりして難しいケースも多いです。でも「AWSの便利な機能をしっかり使ったシステムに切り替えることで、パフォーマンスもセキュリティ上の堅牢性も上がり、全体としてのコストが下がるので、クラウドネイティブがベストです」ときちんとお伝えすることこそが、うちの会社の価値だと思っています。

川口:「クラウドネイティブ」というキーワードはとても重要ですね。そこを切り替えられないと、ビジネスもセキュリティも担保できない。わざわざ仮想マシンを使わなくてもいいわけですから。

毎月200本以上の記事数を誇る、ブログ「Developers.IO」運営の裏側とその効用

川口:今日、是非伺いたかったことの一つは、クラスメソッドのブログ「Developers.IO」(https://classmethod.jp/)についてなんです。IT業界の中でもトップクラスだと思うんですが、やたらと大量の記事を書いていますよね(笑)。

佐々木:書いてますね。今は1週間で50本、月で200~250本くらい記事公開しています。会社単体でやっているものだと、多分うちが一番多いですね。アクセス数とかでも会社単体のブログではおそらく一番多いです。

川口:内容としては、AWS以外のことを書くのはNGなんですか。

佐々木:内容の縛りは基本的に無いので、検索したらAzureの話なども出てくるはずです。唯一あるルールとしては、「他の技術をdisらない」ということでしょうか。自分たちが好きな、いいものを使って、記事を書くように話しています。

川口:こんなに記事が次々に上がってくると、チェックする広報さんは大変じゃないですか?

佐々木ブログ記事に関しては、チェックプロセスは無いんです。入社して最初の記事は、書き方を教える意味で他の人も見ますが、2本目以降はチェック無しです。たまに後から見て「この内容はまずいね」と取り下げるケースもあります。レビューをすると出す手間が増えるので、自由に出してもらうようにしています。

川口:記事を書くのは義務ですか? 推奨ですか?

佐々木推奨ですが、社員のメンバーには週1本、月4本くらい書けるといいねと言っています。もちろん仕事が忙しくて書けない人もいますし、逆に月に10本くらい書ける人もいるので、書きたい人が書けばいいというスタンスです。記事のアクセス数やSNSでのシェア数はカウントされて、ポイントとして貯まっていきます。経験値のイメージですね。ゲームっぽくやろうと思っているので。

川口メンバーのブログをここまで数字で可視化している会社って珍しいと思うんですよね。頑張って書いている会社さんは他にもあると思いますが。ランクは数字が大きい方がいいんですか。マックスの人でどれくらいの数字行くんですか。

佐々木

今(※2019年3月時点)は諏訪というメンバーがトップだと思います(https://classmethod.jp/author/suwa-yuki/)。2位がしんや、3位が私みたいな感じですね。最近は仕事忙しくて書けていないですが、現場にいたときは年間100本くらい書いてました(笑)。

川口:年間100本ってすごいですね。営業日だと2日に1本ペース。

佐々木:ごりごり書いてましたね。AWS以外のこともいろいろやっていたので。

川口:マネージャーとしての心得とか?

佐々木:そういうのもありました。技術的なものでは「Docker」とか、自分で触って楽しいものを書いていました。

川口このブログは、かなり会社の宣伝にもなってるんじゃないかと思うんですが。

佐々木:そうですね。うちで流入が一番多いのはこのブログで、月間200万PVくらいです。

川口:200万PV! その数字は凄いですね。

佐々木コーポレートサイトそのもののPVは少ないんですが、ブログはそれくらいあるんですよ。日本国内でいうと、僕らの上にQiitaがいるくらいですね。記事1本1本のアクセス数で見ると、クックパッドさんやメルカリさんのブログが最近すごく跳ねていると思うのですが、うちは書く量が多いので、全体で見るとPV数が多いですね。UUでいうと60万くらいですかね。

今、うちの社員は300人くらいで、そのうち8割くらいがエンジニアなので、250~260人いるのですが、全員がブログを書きます。AWS自体がリリースや新機能をたくさん出すので、それを1つ1つ検証していけば、結構、書けちゃうんですよね。ネタがたくさんある。

川口:このブログを見ていると、会社の姿勢がとても分かりやすく伝わってきますよね。こういう社風に魅かれて入社してくる人も多いんじゃないですか。

佐々木採用には有効に使えていますね。僕らがアウトプットを評価する会社で、入社したらブログを書かないといけない、というのが事前に分かっている人が面接に来ます。ブログ書けない、って人は来たことがないですね(笑)。

川口:「Developers.IO」といえば秋葉原にカフェ(https://cafe.classmethod.jp/)ができましたよね。あれは会社で経営してるものなんですか?

佐々木はい、会社として経営しています。今年(2019年)2月にオープンしました。位置づけとしては実験店舗なので、利益は度外視してやっています。海外のリテールはキャッシュレス決済が普通になっていますが日本だとまだそこまで行っていないので、まずは体験してもらおうと考えて、我々が持っているAWSの知見やモバイルアプリを使って、キャッシュレス決済ができる環境を作りました。

一般のお客様がいらっしゃるので、ちゃんと店長や店員もいます(笑)。スマホを持っていない方もたまにいらっしゃるので「すいません、うちスマホ無いと決済できないんです」とお伝えすると、驚かれてしまうこともありますね。モバイルアプリで決済したり、ウォークスルーでアプリだけで商品を選んだりとか、そういう体験ができるようにしていますので、是非一度いらしてください。

クラスメソッドとイエラエ。両社で目指す“クラウド時代の歩き方”。

川口:最後に、まずは佐々木さんから今後の日本のIT業界に向けて、クラスメソッドからのメッセージをお願いします。

佐々木我々は、AWSに一番詳しい会社として、AWSを使ってお客様の支援をしていきたいと思っています。AWSの良い使い方やセキュアな使い方について知見がない会社さんはまだまだいらっしゃるので、僕らが持っているノウハウを使って、AWSの本来あるべき使い方をいろんなお客様にお伝えしていきたい。お客様が日本中の皆さんに良いサービスを提供する、その支援ができればと思っています。

川口:正しく使えば、ビジネスもスピードアップしますし、コストも無駄なものを払わなくてよくなりますしね。

佐々木我々だけでAWSの使い方を日本中に伝えられるとは思っていなくて、僕らの知見を他の会社さんに知っていただく必要があると思っているので、ブログや勉強会でどんどんアウトプットしています。そこでAWSの使い方を覚えてくださった方たちが、別のお客様にAWSの使い方を伝えていただくような形で、我々のお客様だけでなく、広い範囲の方々に伝えていければと思います。

安里イエラエセキュリティは「脆弱性の無い世界にしたい」というテーマを会社の公式サイトに書いていますし、自分もそういう世界を目指していきたいと思っています。

脆弱性が無い世界にする為にはどうすればいいかということなんですが……この記事を読んでくださっている皆様には、様々なメディアにアップされているセキュリティの記事を読んでいただいて、ご自身の会社にフィードバックしていただいて、脆弱にならないようなシステム構築をしていただきたいなと思います。

それでも「不安だな」という時は、イエラエに診断を依頼いただいたりすればいいかな、と。

川口「是非、イエラエに!」ということですね(笑)。イエラエとクラスメソッドの提携を聞いたときに、「あ、こういうのありなんだ」と思ったんですよ。診断しても、診断しっぱなしで終わるんじゃなくて、その後のフォローもちゃんとできるのは、いいですよね。

安里:ちゃんと直して、運用まで対応してくれる会社と組めるのは、有り難いですね。

川口:お二人とも、今日は遠いところお集まり頂きまして、ありがとうございました。

セキュリティ診断ならお任せください

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。
国内トップクラスのセキュリティエンジニアが診断を行います。