Facebookのセキュリティはどうやって守られているのか--米担当者が語る

 1日に10億人ものユーザーが利用する世界最大のSNS「Facebook」。多くのユーザーが自身の顔写真を公開したり、プライベートな内容を投稿したりしている同SNSが、日々ハッカーやマルウェアによる脅威に晒されていることは想像に難くないが、同社はどのようにして膨大なユーザーの情報を守っているのか。


Facebook セキュリティ部門 エンジニアリング・インフラストラクチャー ディレクターのグレッグ・ステファンシック氏

 来日中のFacebook セキュリティ部門 エンジニアリング・インフラストラクチャー ディレクターのグレッグ・ステファンシック氏が10月29日、同社のセキュリティに関する取り組みを紹介した。ステファンシック氏は、Facebookにおいて安全なコーディングインフラの構築や、スパム対策、ログイン防御などを指揮している人物だ。

 Facebookのセキュリティチームは、大きく「Technical Security」「Account Access」「Site Integrity」「Security Infrastructure」の4つに分かれている。グローバルでは、米国、環太平洋、欧州の3拠点でそれぞれの地域を見ており、24時間対応できる体制にしているという。


4つのセキュリティチームによって構成される

4つのセキュリティチームで脅威から守る

 それぞれのチームの役割と取り組みがステファンシック氏によって語られた。

 Technical Securityは、課題対応やシステム侵入テスト、コンプライアンス管轄などをしているチームだ。ここ3~4年は10月に「Hacktober」という大規模なセキュリティイベントを開催しており、エンジニアに限らず多くのスタッフが、セキュリティについて議論したり、シミュレーションする場となっているという。


セキュリティイベント「Hacktober」

 また、サービスの脆弱性を発見したエンジニアに報酬を支払う「Bug Bounty Program」を他社に先駆けて実施。現在までに、総額400万ドルの報酬をバグハンターに支払っているという。このプログラムには日本も含めた世界123カ国から参加者がいるそうだ。


「Bug Bounty Program」の実績

 Account Accessは、利用者のアカウントを守るチーム。ユーザーが自身のアカウントをコントロールできることを主眼においており、たとえば、2段階認証やアカウントリカバリーなど数多くのツールを開発している。旅行先や出張先など、普段行かない地域でログインした際にアラートを出す機能などは、多くの人が利用したことがあるだろう。

 8月から提供を開始したのがセキュリティ管理ツール「セキュリティチェックアップ」。しばらく使っていないアプリやブラウザなどを一括でログアウトできる機能や、新しいデバイスからログインがあった際にアラートする機能、パスワードをより強固にできる機能などを利用でき、ユーザーが自身でセキュリティレベルを上げられる。


セキュリティ管理ツール「セキュリティチェックアップ」

 Site Integrityは、Facebookのスパムと戦い、サイトの品質の向上に努めているチームだ。ハッカーの侵入やマルウェアによる攻撃を防ぐために、機械学習や手動でのカテゴライズ、ユーザーレポートなど、さまざまな手段を駆使しているという。日本ではまだ提供されていないが、ユーザーのPCなどのデバイスにマルウェアが侵入している場合に検知する「アンチマルウェアスキャナー」という機能も提供している。

 さらに、悪意のあるソフトウェアやコンピュータの脆弱性などが確認された際に、セキュリティ専門家や企業が協力してその情報を共有できる、セキュリティ情報共有プラットフォーム「ThreatExchange」を2月に立ち上げている。ここには、Microsoft、Yahoo!、Dropbox、Pinterestなどが参画しているという。


セキュリティ情報共有プラットフォーム「ThreatExchange」

 最後のSecurity Infrastructureは、Facebookのさまざまなインフラを構築するチーム。オープンソースのデータセンターなど、エンジニアが安全なFacebookを構築するためのコーディングの枠組みを作っている。このチームは、Technical Securityチームと密に連携して作業しており、Technical Securityチームの取り組みが、Security Infrastructureチームに影響を与えることも多いという。

 世界中で利用されているFacebookだが、国や地域によってハッカーによる攻撃やマルウェアの内容に特徴や違いはあるのだろうか。ステファンシック氏によれば、言語の違いなどはあるものの、スパムの技術などは世界的に大きく変わらず、日本特有のものなども存在しないという。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]