Foxpassの創業者兼CEO、Arenをご紹介します。
Arenは、旅行好きで各国を飛び回るジェットセッターから家庭人へと転じた人物であり、BeboのVice President of Operations、Third Ave LabsのCTO、OodleのDirector of Engineeringなど、ハイレベルなエンジニアリング職で豊富な経験を積んできました。
Arenとの対談にぜひご参加ください。ネットワークセキュリティに関する見識、会社づくり、そしてFoxpassについて知っておくべきことを余すところなく伺います。
Arenへのインタビュー
まずは簡単にご経歴からお聞かせいただけますか?
私はFoxpassの創業者、Arenです。これを始めてから、もう4年ほどになります。
それ以前は Pinterest でテクニカルオペレーションおよびITの責任者を務め、その前は Beebo、Oodle、そして Danger(覚えている方もいるかもしれませんが、あの T-Mobile Sidekick を作った会社です)に在籍していました。
その前は、Stanfordでコンピューターサイエンスの修士号と学士号を取得しました。
プログラミングはどのように始めたのですか?
母が勤務先のApple IICを家に持ち帰ってきたんです。これは初期のポータブルコンピューターの1つで、私は毎週末それを使おうとして、できる限り多くのことを学んでいました。
結局、Applesoft BASICを少し学んで、そこからかなりシンプルなプログラムを作れるようになりました。
次のコンピューターを手に入れたとき、私はC言語の本を買って、その仕組みを学び、そこからどんどん進んでいきました。
すごいですね。独学でも学び、さらに学校にも通っていたんですか?
はい。そのとおりです。
学校に入る前に学んだプログラミングのほとんどは独学でした。その後、Stanfordでコンピューターサイエンスの学位を取得し、そこでCSの課程をすべて履修しました。
これまでに作ったアプリケーションの中で、いちばん気に入っていないものは何ですか? なぜ作ったのか自分でも覚えていないようなサイドプロジェクトを作ったことはありますか?
少なくともプログラミングに関しての記憶は、全部学校の課題のことだと思います。
趣味で作るものは、たとえうまくいかなくても全部素晴らしいんです。少なくとも何かを学べたり、実験してみたりできるので。
学校向けのものは、時間に追われるうえに、全部が初めての内容だったので、とにかく大変でした。何をすべきなのか、どうあるべきなのかがまったくはっきりしないので、プログラミングでいちばん嫌だった瞬間のいくつかは間違いなく学校でのことで、たとえば夜遅くまでコンピューター室に残って、キーボードに頭を打ちつけていたようなときです。
これまで働いていた会社のいずれかで、完全に大失敗だと感じた出来事について教えてください。そういう瞬間はありましたか?
10時間も[続いた]ようなものは思い当たりませんが、かなり悪いことが起こりそうになって恐怖を感じた瞬間は確かにありました。
幸いなことに、長引いた障害が発生しても、影響やダウンタイムは2時間、3時間、あるいは4時間程度で済んでいたと思います。
でも、万全に備えたつもりでも、思いがけないことが起きることは必ずあります。
マーフィーの法則、ですかね。どの会社でも利用してきました。
サーバーとネットワークセキュリティの分野に入ったきっかけは何ですか?
Oodle以降、ほぼすべての役割で身につけなければならなかったことです。
その役割の担当者がいなかったか、その担当者が会社を辞めていて、対応が必要でした。
特にPinterestでは、これは多くの新興企業に共通することですが、実際にアプリケーション開発者ばかりで、新しい人を大勢受け入れる段階になるまでは、セキュリティはそれほど重要視されていませんでした。
そういうときに、アクセス制御とID管理がとても重要になります。新しく加わる人がたくさんいるからです。
できるだけ早く作業を始められるように、すぐにサーバーへアクセスできるようにしたいはずです。オンボーディング時の士気向上に役立ちます。同時に、誰が何をできるかについては注意を払う必要があります。
オンボーディングでもオフボーディングでも、すばやく対応できるようにしたいものです。
エンジニアリングチームでよく見かける大きなセキュリティ上のミスは何ですか?
最大のセキュリティ上のミスは、資格情報を共有することだと思います。本当に簡単です。
「おっ、新しいエンジニアがチームに加わったんですね。 サーバーへのログイン方法は次のとおりです。全員が使用するユーザー名とパスワードを使う場合もあれば、作成時にサーバー上に設定された秘密鍵を共有する場合もあります。」
これらが、私が目にする中で最も大きく、最悪のミスです。
そこでは、各自が別々のSSHキーを持っているかもしれませんが、全員が同じユーザーを共有しています。それほどひどくはありませんが、ベストプラクティスとは言えません。
仮に全員がそうしたことをすべて行っていたとしましょう— その結果どうなるか、何が問題になるかを説明してください。
最悪のシナリオは、会社をまったく保護できていないことだと思います。
誰かが退職したり解雇されたりして、しかも会社に恨みを持っている場合、共有している資格情報をすぐにローテーションしなければ、その人がサーバーにログインして、すべてを削除し、多くの問題を引き起こす可能性があります。
それが最悪のケースですが、企業の役割は自社を守ることです。
だからこそ、企業はこうした状況と、自社をどう守るかを考える必要があるのです。それは明らかに最悪のケースです。めったに起こりませんが、もし起きれば壊滅的です。
Foxpassを世界にどう説明しますか? Foxpassで構築した機能の中で、お気に入りはどれですか?
基本的には、インフラ内のあらゆるものに対して、全員にそれぞれ専用の名前とパスワード、つまり固有の資格情報を持たせたいと考えています。ホワイトボードに共有の無線LANパスワードを書いておく必要は、もうありません。Linuxサーバーに共有ユーザー名やSSHキーはもう不要です。誰もが自分専用の資格情報を持っています。
これで全員がそれぞれの資格情報を持つようになったので、次はアクセス制御に移行できます:
「このユーザーがアクセスできるのはこれらのサーバーのみで、向こうにいるBobのリストとは別です。」彼は別のサーバーセットにしかアクセスできず、それらのサーバー上では実行できる機能も制限されています。」
インフラ全体に対して、すべてかゼロかという話ではありません。特定のサーバーやサーバー群に対しても、オール・オア・ナッシングというわけではありません。全員に、それぞれに合わせた詳細なアクセス権限があります。
さらに、一時的なアクセスを付与できます。
指定した一連のマシンに対して、終了日(日時など)または終了イベントを設定して、誰かにアクセス許可を付与します。
例えば、私がよく挙げる例は次のとおりです。オンコールの週になると、必要な場所すべてで疑似的なアクセス許可を持つことになります。ただし、オンコールのシフトが終了すると、そのアクセス許可は失われます。
当番中の担当者に頼めば、かなり簡単に再度受け取れますが、次にまた当番になるか、リクエストするまでは、もう手元にはありません。これなら、ノートPCが盗まれても、会社はそのノートPCにあなたのキーが保存されていたのではないかと心配する必要がありません。
あらゆることに対してフル権限を持っており、侵害が発生しないようにするために、私たちがカバーしなければならないサービス領域もはるかに広くなっています。
Foxpassは、Pinterestで目にした問題をきっかけに立ち上げたとのことですが、もし時間をさかのぼって何か違うことができるとしたら、Foxpassについて何か変えたいことはありますか? あるいは、創業者として初期に犯したミスはありましたか?
はい、ミスはたくさんあります。というか、私のバックグラウンドはエンジニアリングであって、ビジネスを構築することではありません。だから振り返ってみると、もっと違うやり方をしておけばよかったと思うことは、すべて事業をもっと早く成長させることに関するものです。
初期のお客様すべてに本当に良い体験を提供できたという点では、とても良い仕事ができたと思います。ただ、もっと早い段階で、そうしたお客様のような見込み客をさらに見つけるために、できたことはあったかもしれません。
お客様に言われて印象に残っている、ちょっと意外なひと言は何ですか?
私がいただく最高の反応は、たとえば「わあ、ずっとこれを探していたんです」のような言葉ですね。
そういうときに、自分が売ろうとしている相手を見つけられたと実感できますし、私たちが作り上げた製品が、以前の仕事で自分自身がまさに探していたものと同じように、彼らがまさに求めているものだと確信できます。
趣味は何ですか?
以前は旅行を楽しんでいました。今は子どもが2人いてスタートアップもあるので、それをするのは難しいです。
今では、その子どもたちと公園に行ったり、子どもたちがお昼寝している間は、私の情熱でもある家の手入れをしています。
今まで行った中で、いちばん素敵だった場所はどこですか?
これまで旅行した中で一番好きな場所は...
2009年に、私は世界一周の旅に出ました。たった3か月でしたが、信じられないほど素晴らしい世界のさまざまな場所を見ることができました。
アジアのほとんどの地域は素晴らしかったです。東南アジア、インド――本当に美しく、素晴らしい国々と素敵な人々です。あの旅でたぶん一番気に入ったのは、その部分でした。
そこへ行くのはとても大変なので、ゆっくり見る時間を長めに取れてよかったです。
起業して本当に優れた製品を作っている人はたくさんいます。最初からセキュリティを考慮して構築していない場合もあります。そうしたスタートアップの創業者たちに何かアドバイスをするとしたら、どんなことを伝えますか?
「必要になると思うよりも早く、セキュリティ対策を始めましょう。」
まずは、人々が買いたいと思う製品を提供していることを確認することが重要です。
顧客がいなければ、守るべきものは何もありません。ただし、手応えを感じ始めたら、セキュリティ体制について考え始めましょう。
最近のお客様はますます知識が豊富になっていて、以前よりも早い段階でこうした質問をするようになると思います。
「アクセス制御戦略は何ですか?」最小権限の原則はありますか?
こうしたことは前もって考えておけば、相手がこうした質問をし始めても慌てずに済みます。
セキュリティを強化
ネットワークを保護し、ビジネスの安全を守る準備はできていますか?Foxpassが高額なセキュリティミスを回避するのにどのように役立つか、こちらをクリックしてご覧ください。
