「把握していないIT資産が多数存在することは分かっていたが、それを全て把握することができない状況が長年続いていた」――。9月9日~11日に開催されたオンラインイベント「TECH+フォーラム セキュリティ 2025 Sep. 自社にとっての最適解を探る」において、セガサミーホールディングス グローバルセキュリティ推進室 セキュリティエンジニアの田邉由嗣氏が、同社のアタックサーフェスマネジメント(ASM)導入の経緯と取り組みについて講演した。8年にわたるASM導入の実体験を通じて、大規模IT資産を抱える企業のセキュリティ対策の現実と課題が浮き彫りになった。

創業から続くIT資産管理の課題

セガサミーグループは、ゲームコンテンツから映像、トイに至るまで多種多様な“遊び”を提供する「エンタテインメントコンテンツ事業」、パチンコ・パチスロの開発から販売までを手がける「遊技機事業」、統合型リゾートの運営およびカジノ機器の開発等を手がける「ゲーミング事業」の3つの主要事業セグメントを展開する総合エンタテインメント企業グループである。

同グループのセキュリティを担う専門部隊である、セガサミーホールディングス グローバルセキュリティ推進室は、2015年に発足した。それ以前は、各事業部門やグループ会社がそれぞれIT担当を配置し、メイン業務の傍らでセキュリティ業務を行っていたという。この体制は2014年に発生したセキュリティインシデントを契機に見直され、専門チームの発足へとつながった。

  • グローバルセキュリティ推進室の概要

    グローバルセキュリティ推進室の概要

田邉氏は、ASM導入以前の課題として、長年にわたり把握しきれていないIT資産の存在を挙げた。新規Webサイトについては脆弱性診断を実施していたものの、古いサイトやIT担当者不在の部署が制作するプロモーションサイトなど、把握しきれないWebサイトが多数存在していたという。

「8年ほど前から、把握しきれていないIT資産や管轄外のIT資産が国内外に多数あることは分かっていました。グループ会社のセガだけでもメインドメインが1000を超え、サブドメインを含めると数千単位に上っていました。IPアドレスや外部接続のネットワーク機器も膨大で、ADアカウント管理も多数稼働している状況でした」(田邉氏)

このような状況下で、年間を通してASMを実施することは費用の面から困難であったと同氏は振り返る。そこで同社が導き出した答えは「スポットASM」による定期検診であった。人間が年に1度健康診断を受けるように、IT資産も定期的に診断しようという考えだ。

第1フェーズ:ASMの概念理解と無償ツールでの試行

セガサミーホールディングスはASMの導入にあたり、3つのフェーズを経て試行錯誤を繰り返してきた。

第1フェーズは、ASMという概念自体がまだ一般的ではない時期に、その効果を検証することが目的だった。

「さまざまな製品を検討しましたが、費用感に合うものがなかなか見つかりませんでした。しかし、無償で利用できる『RiskIQ』(後にMicrosoftに買収)というサービスがあったため、まずはこれでASMとは何かを我々自身が把握することから始めました」(田邉氏)

2017年4月に実施されたこの試行では、約1000のアセットを登録し、最終的に約3700件の資産を検出した。このうち、約100件の脆弱性が確認されたという。WordPressなどの動的サイトでの脆弱性を想定していたものの、実際には海外のサイトにおけるミドルウエアの脆弱性が多く検出されたそうだ。

第2フェーズ:有償PoCでの包括的なリスク評価

第1フェーズから約2年半の期間を経て、第2フェーズへと移行した。費用対効果に見合うサービスがなかったため長期間の実施ができていなかったが、有償のPoCとして「Digital Shadows」を導入した。実施には苦労があったと田邉氏は説明する。

「完全なASMというよりも、脅威インテリジェンスの要素も含まれるサービスだったので、ドメイン以外の資産も対象に試用しました。会社名やブランド名など、グループ会社に協力を仰ぎながらアセット情報を集めましたが、対象が約2~30社と多かったため、数カ月実施が遅れてしまいました」(田邉氏)

2020年2月~3月に実施されたこのPoCでは、合計で約8000件のリスクが検出された。内訳は、認証情報漏えいが約6000件、類似ドメイン(詐欺サイトの可能性)が約1500件、そしてASMとしての脆弱性が約200件であった。認証情報漏えいには、過去の掲示板やゲーム機の一般ユーザーのメールアドレスなどが含まれており、ビジネスへの影響は小さいものの、同氏はその数の多さに驚いたという。

第3フェーズ:年1回実施体制の確立とガイドライン策定への貢献

そして2022年から現在に至るまでの第3フェーズでは、費用感に見合う製品が見つかったことから、年1回のWeb健康診断としてASMを継続的に実施している。サービスにはマクニカの「Attack Surface Management」を採用。現在のASM対象アセット数は、ドメイン数約1200、FQDN数約6000、IPアドレス約3000、ネットブロック数約40となっている。

2022年~2024年にかけての脆弱性検出結果を見ると、2024年にはクリティカルな脆弱性が4件検出された。田邉氏は「この規模のIT資産でこの件数は非常に少ないほうだと言われているが、それでもクリティカルな脆弱性が出てしまうことを痛感した」と語る。検出されたクリティカルな脆弱性は海外のサイトに関するものであったという。

ASM実施による効果と今後のロードマップ

継続的なASM実施により、グループ各社のIT資産把握が進み、これまで把握できなかったシャドウITの存在も明らかになったと田邉氏は語る。

「継続して実施することで、知らなかった資産がやはり出てきました。これには手応えを感じています。ただ、ITに不慣れな担当者もいるため、我々が対面で問題解決をサポートするなど、手厚い支援が必要でした」(田邉氏)

また、同じサービスを使い続けることで検出精度が向上し、これまでは判断が難しかった「ノイズ」が減り、脆弱性が明確に検出されるようになった。

一方で、現在のスポット実施には課題もある。世に出回る脆弱性は数が多く、年1回の診断では見逃すリスクがあること、実施時期が年末になるためグループ各社の予算確保が難しいこと、そしてExcelでのリスク管理が煩雑であることだ。

これらの課題を踏まえ、同社は今後のロードマップとして通年実施のASMへの切り替えを想定している。同氏は「通年実施のASMに切り替える際には、各社各担当者にアカウントを払い出し、アセット登録やリスク管理自体も作業者に移譲する。我々は定期的にリスク状況をモニタリングし、指導や案内を行うかたちにすることで、修正対応の迅速化や新たなリスク検出の軽減につなげたい」と説明。

講演の最後に同氏は、孫子の兵法から「彼を知り、己を知れば百戦して危うからず」という言葉を引用し、「我々も悪意を持った攻撃者と戦うにあたり、この言葉を胸に活動している」と締めくくった。

セガサミーホールディングスは、ASMを通じて自社のIT環境を可視化し、セキュリティレベルの向上に継続的に取り組んでいる。スポットASMから通年ASMへの移行は、同社のセキュリティ施策が次のフェーズへと進化する重要な一歩となるだろう。