Classi株式会社：脆弱性を可視化し脅威検出も可能。対応策の提案機能を有効活用し、統合管理でセキュリティをさらに強化

「まなびをエールする」をコンセプトに、学校向けに特化したクラウド サービス「Classi」 を事業として展開する Classi株式会社。新しい機能の開発やデータ分析の基盤として Google Cloud を活用しています。その一環として、さらなるセキュリティの強化を目的に、Security Command Center を採用。セキュリティ対策の取り組みについて、データAI部の担当者 4 名に話を伺いました。

利用している Google Cloud サービス：

Security Command Center、BigQuery、Pub/Sub、Cloud Functions

約 3 年前よりデータ分析や新機能開発に Google Cloud を活用

日本全国の高等学校の半分強、高校生の 2 人に 1 人が利用している Classi は、スマートフォンやタブレット端末、PC などのデバイスを活用することで、授業や面談、学校と保護者のコミュニケーションなど、学校現場におけるさまざまなシーンで利用されている教育プラットフォームです。

学校生活の気づきや学びを記録するポートフォリオ、生徒 1 人ひとりに最適な学習コンテンツを提案するアダプティブ ラーニング、Classi の ID 1つで様々なアプリを利用することができるプラットフォーム、任意のグループで利用できるコミュニケーションの 4 つの機能で構成されています。

また、新機能の開発や PoC、大学との共同研究用のデータ提供などにも Google Cloud が利用されています。その一環として、セキュリティの強化に Security Command Center が採用されています。採用の理由を、データAI部 データプラットフォームチーム データエンジニアの滑川さんは、次のように話しています。

脆弱性の正確な検知と使い勝手の良さを導入してすぐに実感

Security Command Center の検討は、2020 年 11 月から開始し、まずは、無償版を導入。伊藤さんは、「無償版を 2～3 か月使ってみて、使い勝手もよく、脆弱性や構成ミスもちゃんと検知できるので好印象でした。今後、Google Cloud 上で動くサービスも増えていくので、クラウドの脆弱性や構成ミスだけでなく、アプリケーション レイヤーやコンテナ レイヤーなど、検知する項目も増えることから、2021 年 2 月に有償版に移行することを決めました」と話します。

構築されたシステムは、Security Command Center やチケット管理ツール、さらにチャットツールなどを Pub/Sub と Cloud Functions で連携。Security Command Center がスキャンして、脆弱性や構成ミスを検知した瞬間に、チケット管理ツールに自動的に連携され、チケットが登録されます。チケットが自動生成されるとチャットツールで、各プロジェクトの管理者にアラートが通知される仕組みになっています。

Security Command Center のダッシュボードでは、どれくらいのアラートが通知されているかを一覧で確認することが可能。Google Cloud のフォルダ単位やプロジェクト単位に分割して閲覧することもできます。チケット管理ツールに登録されたチケットは、すぐに対応が必要なもの、すぐではないが対応が必要なもの、対応しなくてもいいものの 3 つに分類されて表示されます。チケットをクリックすると、脆弱性の内容とともに、どのように対応すればよいかが表示され、対応が終了するとチケットが非表示になります。

システム構築時の Google Cloud のサポートについて滑川さんは、「Security Command Center で検知される項目は、重要度の高いものから低いものまでさまざま。そのため、アラートの量やノイズの調整、対応するかしないか、対応する場合、だれが対応するのかなど、システムと運用のすみ分けに苦労しましたが、Google Cloud の担当者のサポートで解決できました」と話します。

また伊藤さんは、次のように話しています。「Google Cloud の担当者からは Security Command Center を紹介してもらって以降、製品のマイルストーンを共有してもらったり、アップデート情報を提供してもらえたり、日々いろいろとサポートしてもらえています。早め早めの情報提供が、巡り巡ってセキュリティ環境のアップデートの助けになっているので、よいサポートだと高く評価しています。」

有償版への移行でスキャン項目が増え、検知項目の対象カバレッジが拡大

Security Command Center の有償版に移行したことで、スキャン項目が増え、検知項目の対象カバレッジが拡大したのは大きなメリットでした。滑川さんは、次のように話します。「広範なセキュリティ スキャンにより脆弱性を可視化でき、それに対して何をすればよいのか、対応方法が明示化されているので知見を蓄積できました。また以前は、プロジェクト担当者が個別にチェックしていたのですが、統一的に脆弱性を可視化できるようになりました。」

また伊藤さんは、「当初、セキュリティスキャンの結果が膨大だったので、どこから手をつけていくか戸惑う状態でした。実際に運用をはじめて対策していくと、スキャン結果を 3 分の 1 程度まで減らすことができたので、それだけセキュリティが強固になったと思っています。

現在、チケット対応は、チケット管理ツールに自動起票されたチケットを、データAI部のメンバーで対応しています。今後は、チケット管理ツールによる自動アサインや関連チケットの閲覧機能による対応の分散化により、各メンバーが関連するチケットを個別に対応できるようにする計画。システム的に解消できるチケットは、自動で即時対応することで、対応負荷の軽減も目指しています。

伊藤さんは、「セキュリティは、何か 1 つに対応すればよいというものではなく、ずっと付き合い続けていかなければならない取り組みです。またデータAI部だけでなく、全社として習慣づけ、運用への定着を目指すことも必要です。そのためには、脆弱性を常にスキャンをしてくれる Security Command Center のようなツールがあると心強いです。この仕組みをフルに活用することで、より堅牢なサービスを開発、運用していきたいと思っています」と話しています。

Classi株式会社

2014 年 4 月、株式会社ベネッセホールディングスとソフトバンク株式会社の合弁会社として設立。「子供の無限の可能性を解き放ち、学びの形を進化させる」というミッションに基づき、教育プラットフォーム「Classi」の開発、および運営を事業として展開。日本全国の高校・中高一貫校 3,000 校以上にサービスを提供。2019 年 1 月、株式会社EDUCOM のグループ会社化により、初等中等領域にも事業を拡大。

インタビュイー

・データAI部 部長 データサイエンティスト  伊藤 徹郎 氏

・データAI部 データプラットフォームチーム データエンジニア  滑川 智也 氏

・データAI部 学習チーム Pythonエンジニア  平田 哲也 氏

・データAI部 学習チーム Pythonエンジニア  工藤 淳真 氏

Classi株式会社の導入事例 PDF はこちらをご覧ください。

その他の導入事例はこちらをご覧ください。