「Nooglerを徹底教育」「悪意ある攻撃は歓迎」――Googleは社内にセキュリティ文化を作る

情報セキュリティの確保が企業にとって急務となる中、従業員がセキュリティについて自発的に考える文化を醸成しているのがGoogleだ。同社のセキュリティ対策の特徴は、徹底した教育とフィードバックにあった。

　検索サービスやGmailなど世界有数のサービスを展開する米Google。サービスが多岐にわたり、多数のユーザーを抱えていることもあり、外部から悪意のある攻撃を受けやすくなっている。

　同社のセキュリティ対策は、脆弱性をただ修正するといったその場しのぎにとどまらない。従業員が自らセキュリティについて考え、対処するといった文化を組織全体で作っている。

　4月24日に開催されたセキュリティイベント「RSA Conference Japan 2008」では、米Googleでエンタープライズセキュリティ兼コンプライアンスを担当するスコット・ペトリディレクターが登場し、社内で実施しているセキュリティ教育の一端を紹介した。

米Googleのスコット・ペトリ氏

「Noogler」からセキュリティ教育を徹底

　Googleでは新入社員を「Noogler」と呼ぶ。同社はNoogler全員にセキュリティ教育を実施する。Nooglerはセキュリティをどのように開発し確保するか、脆弱性にはどう対処するかなどを学び、悪用される可能性が高い脆弱性を検査するテストを受ける。コードを作成すると、複数の従業員でレビューし、性能を評価する。ペトリ氏は「この教育プロセスこそ重要」と明言する。

新入社員が受けるセキュリティ教育の図

　「従業員にセキュリティに対する自助努力を促す」（ペトリ氏）取り組みも進めている。例えばドキュメント共有ソフトウェアを使ってほかの従業員と文書データを共有する場合、「相手はあなたのチームのドメインではないが、共有してもいいか」という注意を画面に表示する。従業員はデータの共有が情報を外に出すことと同義であると考えられるようになる。Googleでは、業務中に情報セキュリティを意識できる仕掛けを随所に施しているという。

　結果として同社は、「コードを書くだけでなく、アプリケーションの振る舞いや発生する脆弱性を理解できる人材を数多く生み出している」（ペトリ氏）という。従業員1人1人がセキュリティに対して何をするべきかを考えられるような土台を作っている。

悪意のある攻撃を歓迎、セキュリティの教訓に

　脆弱性への攻撃を受けやすいGoogleでは、これらの攻撃をセキュリティ対策への意識向上に利用している。「外からの攻撃はセキュリティを高めるための教訓ととらえている」――ペトリ氏は言う。

　サービスの脆弱性がGoogleに報告されると、修正を即座に反映してサービスを磨き上げる。攻撃のパターンを分析し、セキュリティテストに取り入れ、同じ攻撃を2度と受けないようにフィードバックをする。時には競合であるYahoo!のセキュリティ部門と共同で脆弱性に対処することもある。外部の力も借りて、セキュリティを強固なものにしていく。

　「資産の脆弱性を狙った攻撃が企業の内外で起こっている。顧客や従業員、サードパーティーとともにセキュリティを考えなければならない」とペトリ氏は言う。情報セキュリティ対策が急務となる中、率先して従業員のセキュリティ意識を高め、自発的に考えられる人材を育成するGoogleのような取り組みが、今後は必要とされるだろう。