LINE WORKSは2024年4月にセキュリティホワイトペーパーを公開した。今まで「信用して」だけだったSaaSベンダーのセキュリティモデルに一石を投じる、全126ページという大ボリュームのセキュリティホワイトペーパーはなぜできたのか? LINE WORKSの増田隆一氏と松本達也氏に話を聞いた。(以下、敬称略 インタビュアー:ASCII編集部 大谷イビサ)
きっかけは3年前の出来事
大谷:まずはセキュリティホワイトペーパーを制作するにいたった背景を教えてください。
増田:最初のきっかけは2021年3月17日、LINEの日本国内ユーザーの一部の個人情報が中国からアクセス可能な状態になっていたと新聞に報じられた件にまでさかのぼります。
もともと個人向けのLINEと法人向けのLINE WORKSはサービスも、運営元も、インフラも異なっているのですが、あの頃はLINE WORKSを提供している当時のワークスモバイルジャパン(現:LINE WORKS株式会社)とLINE社(現:LINEヤフー株式会社)は異なる会社という認知があまりありませんでした。そのため、「LINE WORKSのデータも危ないのでは?」という疑いを持たれ、同一視したメディアからもけっこう問い合わせがありました。
こうした出来事があり、LINEブランドの大きさを感じるとともに、いざインシデントが起こった時、われわれのようなSaaS事業者はつねに「疑われる立場にある」ということを痛感したんです。
大谷:確かにWebやクラウドサービスは信用ありきのビジネスですよね。ユーザーは与えられた情報を元に信用するしかないので、なにかあれば疑われてしまいますね。
増田:実際、われわれが情報公開の観点で準備不足だったのも事実でした。当時は「ちゃんとやっています」としか言えなかった。そのため、パートナーとユーザー向けの説明会をやりました。これを進める過程で、われわれも開発体制と運用体制がどうなっていて、どのように分離されていて、どのようにデータが保護されているかなどを説明できるように整理して、その後、「プライバシーセンター」というサイトを構築して、個人情報の扱い方などを公開するようになりました。
大谷:どのような情報が公開されているのですか?
増田:たとえば、当時はLINE WORKSのDriveエクスプローラーとPC版アプリを中国にあるNAVER Chinaで開発していました。もちろん、開発と運用の環境は完全に分離されていたので、開発エンジニアから運用環境にアクセスすることはできないし、バックドアが存在しないことも内部確認しています。こうした情報も包み隠さず公開するようにしたのです。
なお、これをきっかけに、オフショア先を中国からベトナムに移管しました。その頃はコロナ禍でエンジニア採用に苦戦して、だいぶ時間はかかったのですが、昨年には完全に移管しています。バージョン3.8以降のDriveエクスプローラーとPC版アプリはNaver Vietnamでの開発です。
こういった開発委託体制も、プライバシーセンターに書いてあります。今後もこうした情報を開示する姿勢を見せ続けていくことが重要であると考えています。
透明性を上げることで、お客さまに安心感を与えられる
大谷:ここまで情報公開されているプライバシーセンターがあるのなら、手間をかけてホワイトペーパーを作らなくてもよい気がするのですが……。
増田:気になった方は自ら調べられるのですが、弊社のセキュリティ対策について網羅的に知りたいという方に、プライバシーセンターをすべて見てくださいとお願いするのは、ちょっと難しいと感じました。
大手の企業になればなるほど、公式なドキュメントでの情報提供を求められます。われわれがやっていることを網羅的にまとめたドキュメントを通じて、スタンスも明確になれば、SaaS事業者としての責任を1つ果たすことにもなると考えました。
大谷:ユーザーも増えましたし、責任が伴う立場になりましたね。
増田:LINE WORKSもおかげさまで導入は46万社を超え、500万以上のユーザーの皆様に使ってもらえるようになったのですが、その分責任も大きくなったと痛感しています。セキュリティに関しては、法人向けサービスであるが故、サービス開始当初からしっかりやってきましたが、もっとお客さまから見えやすくする必要があるのではと考え、私からセキュリティホワイトペーパーを発案させてもらいました。
実は前職でAWSをベースにしたセキュリティホワイトペーパーを作るのに関わった経験があり、各所からの問い合わせに都度対応するのではなく、セキュリティに関する取り組みを積極的かつ網羅的に開示して透明性を上げることで、お客さまに安心感を与えられるという気づきがあったのです。
大谷:黎明期のクラウドはセキュリティがもっとも課題でしたが、今も重視される点ではありますからね、
増田:はい。現在ではエンタープライズのお客さま、自治体や金融機関などでもたくさんLINE WORKSを使ってもらっているので、セキュリティ関連の問い合わせは必ず来ます。とはいえ、お答えすることはほぼ同じなので、だったらホワイトペーパーにまとめてしまおうと考えた背景もあります。
また、初めて使うITツールがLINE WORKSだという方もいらっしゃいますし、ITに詳しいという方ばかりではありません。ダウンロードしてあるがままに使う方も一定数いらっしゃいます。そんな方たちに少しでもセキュリティという側面にも目を向けていただき、われわれのサービスを安全に使ってもらいたい。そんな思いもあります。
松本:LINE WORKSについては、ユーザーインターフェイスがLINEに似ていることや、使いやすいというところに注目をされやすく、それはとてもありがたいと思っています。ただそれだけではなく、LINE WORKSは企業向けに管理機能もしっかりしています。ただ、このあたりはあまり知られていないので、今回のセキュリティホワイトペーパーを通じて、管理機能を知ってもらい、使いこなしていただくというのもテーマの一つでした。
大谷:自社の取り組み、お客さまのケアすべき点をまとめているだけではなく、セキュリティや管理機能についての認知を挙げるのも目的ということですね。
SaaSのセキュリティはベンダーとお客さまで作り上げていくもの
大谷:具体的にはどのようにスタートしたのですか?
増田:セキュリティホワイトペーパーの作成を開始したのは昨年の8月。本来は年度内には完成しているはずでしたが、想定以上にボリューミーになり、126ページにまで膨らみました。作り始めたら、あれも必要、これも必要となり、章自体が増えてしまいました。
大谷:126ページの内訳は、どんな感じなんでしょうか?
松本:1章、2章はベンダーであるわれわれ自身やサービスの紹介、3章、4章がLINE WORKSのセキュリティへの取り組みなのでここがメインコンテンツです。5章、6章がお客さまの具体的な設定で、導入前にどう考えるべきか、運用の際にどう考えればよいかが書いてあります。
増田:言い出しっぺではあるのですが、完成したのを見て、5章・6章がここまで丁寧に書かれているとは想像していませんでした(笑)。マニュアル的なところもありますが、セキュリティの観点で絞られています。
大谷:制作にあたってのポイントは大事にしたところはなんですか?
松本:今回、セキュリティホワイトペーパーを作るに当って、改めて「SaaSのセキュリティ」とはなんだろう?というのを見つめ直しました。
SaaSベンダーとして提供しなければならないこと、提供していることを明らかにする必要にあります。取得した認証などはプライバシーセンターにも掲出しています。一方で、お客さまご自身のパスワード管理はじめ、われわれだけでは対応できないこともあります。
そこで総務省が出しているSaaSの責任共有モデルを用いて、ベンダーとお客さまの責任共有をどのように考えればよいのかを図に表しました。その上で、お客さまがどのような設定を行なえば安全を確保できるのかをきちんと伝えようと検討しました。これがベンダーとしての責務でもあると考えています。
増田:ものすごくシンプルに言うと、SaaSのセキュリティは、ベンダー側が「安心してください、ちゃんとやっています」とお客さまに説明するモデルなんです。お客さまから信頼を得るために、SaaSベンダーも第三者認定を取得するし、自社のセキュリティの取り組みをアピールしています。われわれも第三者認定は複数取得していますし、脆弱性対策となるバグバウンティングも開始し、今回のように透明性に関する取り組みも進めています。
ただ、われわれがいくら「安全です」「信じてくれ」と言っても、お客さま側の使い方や設定ミスが生じれば、情報漏えいや事故にもつながります。だから、お客さまもこうやって使ってください、こう設定してください、というところまで踏み越えれば、お互いにアプリを安心・安全に環境を実現できるだろうと考えたのです。
大谷:IaaSの場合は、わりとユーザーの責任範囲も広いですが、SaaSの場合はインフラやOS、ミドルウェアまで含めて、ほぼベンダーになりますよね。
松本:ユーザー側は権限や設定、データ、端末などの管理までお願いすることになります。SaaSのセキュリティは、ベンダーとお客さまでいっしょに作り上げていくものだと考えているので、それを実現するために知っておくべきことをまとめています。
パートナーも巻き込み、もっと安心してSaaSを使える世界に
大谷:公開後の反応はどうですか?
増田:このようなホワイトペーパーを作っているSaaSベンダーということで、パートナーさんからはご評価いただいています。中身と言うより、透明性を上げたいというわれわれのスタンスに対して理解をいただいています。
松本:社内の反響も大きかったです。LINE WORKSのセキュリティについて誰が答えても同じ回答になるようにしたかったので、私が直接社内向けに説明会を行ったのですが、普段セキュリティに関わらない社員も理解できたようです。これから新しいメンバーが増えても、同じレベルでセキュリティの話ができるというのはわれわれにとっても大きいです。
大谷:今後の予定について教えてください
増田:まずセキュリティホワイトペーパーは今後もバージョンアップします。アイデアレベルですが、せっかく作ったホワイトペーパーなので、定期的に説明会はやっていければと思います。
あとはパートナーエコシステムへの拡大ですね。現在、LINE WORKSは170以上の連携ソリューションがあり、多種多様なサービスをLINE WORKSとつなげてご利用いただく事例がますます増えています。引き続き安心してご利用いただくために、連携してくれているみなさんもいっしょにセキュリティについて透明性高く発信していきましょうと啓発していきたいです。
業界をリードしていこうという狙いがあるわけではないですが、他のSaaS事業者も同じような取り組みを進めれば、もっと安心してSaaSを使ってもらえる世界になると思っています。