昨今、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正侵入を働くサプライチェーン攻撃が増えている。もはや自社のセキュリティを強化するだけでは、サイバー攻撃を防ぐことができない時代になっているのだ。そのため、企業では自社のサプライチェーンのセキュリティを高める必要性が増加している。
こうした中、『キャプテン翼 ~たたかえドリームチーム~』『BLEACH Brave Soul』など、人気モバイルゲームを多数提供しているKLabは、ビジネスパートナーとの信頼をより深めるため、Tenableのクラウドベースの脆弱性管理製品「Tenable.io」を導入した。
今回、「Tenable.io」を導入する前に抱えていた課題、「Tenable.io」を導入したことによる効果など、KLab エンジニアリング本部 情報システムグループ 紀平浩志氏、同本部 インフラグループ 技術広報グループ 筆智章氏に聞いた。
紀平氏は主に社内システムの運用管理を、また、筆氏は主にサービスのインフラとして利用している「Amazon Web Services」(AWS)の運用管理を担っている。
高まる取引先からのセキュリティ強化の要請
KLabはアニメなどの知的財産を題材としたモバイルゲームを多く提供していることから、ビジネスパートナーから協業開始にあたり、セキュリティ対策の実施状況を聞かれるケースが増えている。そして、求められるセキュリティの基準は年々、厳しくなっているという。
国内外の企業と協業しているKLabだが、国内企業と海外企業ではセキュリティチェックのレベルに差があるそうだ。国内企業はチェックリストなどを活用して形式的なチェックが多い一方、海外企業はもっと要求レベルが高い。同社は、海外企業の求める厳密なセキュリティレベルを持っていることを示すことが必要なわけだ。
紀平氏は、「取引先から求められるセキュリティのポイントの一つがサーバインフラのセキュリティです。最近は求められるセキュリティのレベルが上がっており、例えば、ツールを使って網羅的にチェックしているかどうかが問われます」と語る。
同社はゲームの開発を行っていることから、負荷分散や冗長性は万全の状態であると自負していたが、マンパワーに依存しているところもあった。加えて、「多くの企業と同様、境界を防御するセキュリティに注力しており、網羅性の観点では、アンバランスな対応だったのも事実です」と、紀平氏。
ご存じのように、サイバー攻撃はアプリケーションやデバイスの脆弱性を突いて行われることが多い。その一方、脆弱性は日々発見されており、脆弱性を検出してパッチを当てるという作業を継続することは難しい。
そこで、KLabでは境界に限らず、ネットワーク全体を網羅して、客観的な判断ができるよう、脆弱性対策に本腰を入れることにした。
導入の決め手は「操作性」と「管理性」が優れていたこと
本格的に脆弱性対策を実施するにあたり、KLabでは脆弱性を管理できるツールを導入することになった。当然、複数の脆弱性管理ツールを比較検討したが、「Tenable.io」は使い勝手がよく、管理が容易だったことが導入の決め手となった。また、他社製品は別サーバを用意する必要があったが、「Tenable.io」はクラウドベースであるため、自社でインフラを持たなくてよい。
脆弱性管理ツールはアセットの検出を行うが、「製品によっては、チューニングをしないとポートスキャンの際に負荷が発生して、社内ネットワークに影響が出ました。しかし Tenable.ioはその問題もなかったです」と、紀平氏は語る。
AWSの運用管理を行っている筆氏は「当社は社内システムと商用システムのネットワークを分離していますが、『Tenable.io』はオンプレミスとクラウドサービスであるAWSを一括して管理できる点が便利です。また、レポートやダッシュボードも見やすく、脆弱性の対応状況が一目でわかります。他社製品のレポートには網羅性はあるのですが、わかりづらいです」と説明した。
ちなみに、AWSは多彩なサービスを提供しており、脆弱性関連のサービスも提供している。筆氏にその辺りを聞いてみたところ、「Tenable.ioは複数のAWSアカウントを一元管理できます。Tenable.ioのFrictionless Assessment機能を使えば、対応OSなら脆弱性評価を自動化でき、対応OSでない場合もAgentを使えば脆弱性スキャンが実施できます」と話していた。
導入効果は脆弱性管理の品質向上
このような導入事例の記事では、導入効果として、「運用担当者の負荷低減」が挙がることが多い。しかし、紀平氏は少し考えながら、「脆弱性管理ツールを導入したら、負荷は上がると考えたほうがよいでしょう」と述べた。
というのも、脆弱性管理ツールの導入により、アセットが正確に洗い出されることで、これまで見落としているアセットが発見され、結果としてそれらに対応する手間が生じるからだ。「アセット管理はきちんとやっていたつもりでしたが、それでも漏れはありました」と紀平氏。
例えば、サーバでは通常ネットワーク接続に用いるインタフェースとは別にリモート管理専用のポートも搭載されている。これら見落としがちなデバイスもTenable.ioのスキャンでは検出し、脆弱性を指摘してくれる。
紀平氏は「Tenable.ioを導入したことで、脆弱性管理における客観性を持てるようになり、当社のセキュリティ対策の品質が向上しました」とも語る。
脆弱性は毎日発見されており、それらをすべてキャッチアップして、さらに、それらが自社のシステムに影響があるかどうかを人手で行うことは至難の業だ。加えて、「昨今、エンドポイントの1カ所に侵入を許したら、ラテラルムーブメントにより他の重要サーバ等に侵入されてしまう恐れがあります。そのため、網羅的な対応が必要になってきています」と紀平氏は話す。それだけ、脆弱性の重要性が増しているわけだ。
今回、脆弱性管理を強化したKLabだが、今後は、ゼロトラストセキュリティの導入によって、社内の働き方の改革を進めていきたいという。「従業員の利便性とパフォーマンスを高めつつ、担当役員を巻き込む形で全体のセキュリティレベルをあげていきたいです」と紀平氏。筆氏も「運用が滞っては困るのは商用システムも同じです。運用と使い勝手を両立するセキュリティを目指します」と、紀平氏の意見に頷く。
サプライチェーン攻撃の脅威が収まる気配が見られない今、ビジネスを守るという意味でも、サプライチェーンの強化に役立つ脆弱性管理を見直してみてはいかがだろうか。