「スモールビジネスを、世界の主役に。」というミッションを掲げて2012年7月の創業以来成長を続け、今やクラウドベースの会計・労務管理ソフトウェア市場でナンバーワンのシェアを誇るのがfreee株式会社（以下、freee）だ。

　いわゆる会計ソフトとは異なり、「業務をやっていると自然と会計帳簿ができる」というイメージでスモールビジネスが気軽に使える「会計freee」にはじまり、「会社設立freee」「人事労務freee」、さらには会計士や税理士が顧問を行っている事業所の状況をチェックできる「クラウド申告freee」といった幅広いサービスを提供している。

　freeeが扱うのは、会社の入金・出金といったセンシティブな情報だ。それだけにセキュリティには気を使わなくてはならないが、ブレーキをかけてばかりというわけにもいかない。MOTEXが2019年11月8日に開催した「CISOの明日はどっちだ!?」の外部脅威対策セッション「スタートアップの機動性と堅牢なセキュリティをどう両立するか freeeのCISOが語る外部脅威対策」では、両者のバランスを取りながらどのようにセキュリティ対策を進めてきたかを、freeeのIT Produce本部本部長でCISO兼CIOの土佐鉄平氏が語った。

クラウドサービスならではの醍醐味を生かしつつ、セキュリティ対策を推進

freee株式会社　IT Produce本部 本部長　CISO兼CIO　土佐 鉄平 氏

会計freeeの最も特徴的な機能の1つである「自動で経理」は、インターネットバンキングやクレジットカード会社などから入出金の明細情報を登録するものだ。

　利用者にとっては非常に便利な機能だが、「バックエンドでいろんな情報をとってくるが、こうしたデータは非常に重要で、漏れないようしっかり抱えておかなければならないもの。ただ、抱えて守っているだけではだめで、機械学習技術などで活用することにとって、お客様の価値に変換していかなければならない。守るだけでなく使わなければならないというのがセキュリティ的に非常に難しいところだ」と土佐氏は述べた。

　また、API連携が増えるにつれ金融機関による厳しいセキュリティチェックに対応したり、改正銀行法における「電子決済代行業」としての登録に当たって金融庁からのチェックを受けたりと、社会的責任が大きくなるにつれ、求められるセキュリティ水準も高まっているという。「もしわれわれが失敗したら、FinTech業界全体に打撃を与えかねないという緊張感を持って取り組んでいる」（土佐氏）

　またfreeeのモバイル版は、領収書などの文書をスマートフォンで撮影すると、画像をOCRで読み込んで勘定項目に入れていく機能を備えているが、「こうした匿名加工がしづらい生のデータを大量に持たなければならないことも、セキュリティ担当者にとっては厳しい」という。

　クラウドサービスならではの醍醐味が悩みになることもあるそうだ。会計士・税理士向けに提供している「アドバイザー機能」では、招待を受ければ、顧問先の事業者の情報にアクセスできるようになっている。万一ここに問題が生じれば、無関係な事業所の情報が見られてしまう恐れがあり、適切な認証・認可と制御が欠かせない。

　「手元にインストールするソフトでは、いったんデータをエクスポートしてメールなどで送り、向こうでインポートして内容を確認し、修正したものをまたエクスポートして……と非常に煩雑だった。だがクラウドサービスであれば、権限を渡して直接内容を確認し、コメントしたりできる。クラウドならではの利便性を享受できる醍醐味的な機能であり、怖い機能ではあるが、積極的に提供していかないといけない」（土佐氏）

　他にも、パブリックAPIやSDKの公開などさまざまな取り組みを進めているfreee。「ベンチャーとしてのリスクを取りつつ、高いセキュリティを実現しなければならない」と土佐氏は強調した。

セキュリティ対策を「勇者」にたとえてユニークな施策を実施

　では具体的に、freeeではどのようなセキュリティ対策を進めているのだろうか。土佐氏は、freeeという会社全体で大切にしている「Hack Everything ★」という価値基準を、セキュリティを提供する上でも重視していると述べた。

　具体的な取り組みの1つが、ロールプレイングゲームの「勇者」にたとえての社内セキュリティ教育だ。例えば、大事な「足腰」は社員のセキュリティリテラシー、「体幹」は攻撃を受けても倒れない力、「防具」は文字通りさまざまなセキュリティ防御の仕組みであり、「腕力」はセキュアなアプリケーションを開発する力、といった具合だ。

　まず足腰を鍛えるために、入社時のセキュリティ研修だけでなく、セキュリティに関する主な話題をまとめて経営陣にレクチャーしつつ、その内容を中継する「マンスリーセキュリティニュース」を実施しているという。また体幹を強化するため、Cylanceのログをはじめ、WAFやIPS、プロダクトのアクティビティログやネットワークログなどをAmazon S3に保存してKibanaで可視化し、横串で検索できるSIEM基盤を整えている。インシデントが発生した時にすばやくエスカレーションしてもらえるよう、報告用Googleフォームも作成しているそうだ。

　面白いのは防具で、「あまり重たくてもしょうがないというメッセージを伝えている」という。本番サーバにアクセスして作業する際には、何段階もの承認を強いるのではなく、二要素認証とSlack上の通知に止めることで「エンジニアリングのスピードを落とさずに運用を構築できている」とした。

　また、腕力を高めるために複数の脆弱性診断に加え、あえて脆弱性の残った状態のサーバを渡して堅牢化にトライしてもらうHardening研修も実施しているが、「どこに注意して開発すべきかという知識はもちろんだが、実際に攻撃される感覚を味わうことでセキュリティ意識の向上につながった」と土佐氏は振り返った。

　さらに、さまざまなビジネスを展開する上で求められる各種認証の取得は「武器」という位置付けだ。「頭」である経営層には、サイバーセキュリティフレームワークを整理した上で現状をレーダーチャート化し、「今はどうか」「この先どのくらいを目指すのか」を数値化して伝えているが、これも非常に受けがいいという。

　そして、何より大事なのは「心」だ。「セキュリティに限らず、全社で大事にしているのは、本質的な価値を追求するということ」（土佐氏）。社会の進化を担っていく責任の一環として、Hack Everything ★の姿勢でセキュリティを推進していく。

　今後も、今整備を進めているSIEM基盤を生かして、不審な行動の検知からアカウントロックに至るまでの対応を自動化したり、CSIRTの専門性をさらに追求し、リスク分析やSOC、PSRITといった役割に分解しつつ、いざという時には横断的に取り組める体制作りに取り組む計画だ。