オンラインゲームの世界では、開発者、運用部門、そしてプレイヤーの全てにサイバー脅威動向の知識とそれを踏まえたセキュリティ対策が必要となってくる。2023年12月13日に行われたイベント「ゲームの世界を守る 開発者とセキュリティ担当者が共に歩むセキュリティ戦略とベストプラクティス」では、ゲーム業界が直面するサイバー脅威の現状と課題について、有識者による解説などが展開された。

本稿では、同イベントの中から、「デジタルの裏側に潜む危険:元ゲーム業界のリーダーが明かすセキュリティの舞台裏」をテーマに掲げた対談の模様をレポートする。登壇したのは、freee株式会社 CISOの茂岩 祐樹氏と、フォーティネットジャパン合同会社 マーケティング本部 フィールドCISO − エンタープライズの登坂 恒夫氏。オンラインゲームの黎明期よりサイバーセキュリティ対策の最前線に立ち続けてきた茂岩氏の、当時のセキュリティ対策の取り組みや苦労したエピソードなどのほか、現在のゲーム業界で課題となるセキュリティ対策へのヒントとなる提言がなされた。

ゲーム業界におけるセキュリティの“3つの課題”とは

登坂氏:まず、茂岩さんの直近のご経歴を簡単に振り返らせていただきます。1999年のDeNA創業時からゲーム業界においてインフラ構築・運用を統括しており、2014年にセキュリティ部を設立してからはDeNAグループの情報セキュリティを統括されてきました。2022年4月にfreeeに入社し現在CISOを務められているわけですが、それまで長年にわたってゲーム業界のセキュリティに携わってきた中で、特に課題と感じられた点についてお話いただけますか。

茂岩氏:一言で「セキュリティ」と言っても様々な分野があり、またそれぞれにおいて課題も沢山ありますが、その中でも特に重要だと思われる課題を3つ挙げるとすれば、まず1つ目はクラウド化です。

私がDeNAに勤めていた頃は、オンプレミスの物理サーバーで各種システムを運用していましたが、今ではほとんどがクラウド化されています。クラウド化によって様々なメリットがもたらされた一方で、セキュリティ的に危うい部分も発生することとなりました。とりわけ、クラウド化によって現場に権限が移譲されることが、セキュリティ上の問題として挙げられます。

2つ目に、ゲーム業界では、他社とのコラボレーションをはじめ、他社で運営していたゲームをそのまま移管したり、さらには会社ごと買収したりするケースが頻繁に生じます。そうした組織環境が変化する中で、いかにセキュリティレベルを維持していくかというのも課題となります。

そして3つ目は、開発サイクルが非常に速い中で、いかにして脆弱性診断を実行し、見つかった脆弱性をどのように評価するのか。そして必要であればそれを修正していく必要があるということです。

登坂氏:ゲーム業界もクラウド化が進み、また買収を含めて業界全体が変化し、さらに開発スピードも速いということで、セキュリティ体制にはかなりの柔軟性やアジリティが求められているのでしょう。

  • (左)フォーティネットジャパン合同会社 マーケティング本部 フィールドCISO − エンタープライズ 登坂 恒夫 氏 、(右)freee株式会社 CISO 茂岩 祐樹 氏

    フォーティネットジャパン合同会社 マーケティング本部 フィールドCISO − エンタープライズ 登坂 恒夫 氏、freee株式会社 CISO 茂岩 祐樹 氏

クラウド化による権限委譲では“検知の仕組み”がポイントに

登坂氏:1つ目の課題についてですが、具体的に権限移譲によってどのような問題が生じるのでしょうか。

茂岩氏:まず、オンプレミスの時代には、インフラ部隊が存在しており、その方たちがサーバーを構築し、ネットワークについてもファイアウォールを設置するなど、常に安全な状態を維持してアプリケーション開発部隊へと渡していました。しかし、AWSなどのクラウドプラットフォームが普及したことで、専門性がなくてもインフラ部隊が行っていたようなサーバーの立ち上げや、ネットワークの設定ができるようになりました。このため、開発側が現場主導でスピーディかつオンデマンドにインフラ構築が行えるメリットがある一方、重要なシステムの設定漏れなど、セキュリティ面の不備が生じるリスクも高まりました。

登坂氏:そうした状況にあって、開発など現場のスタッフにもセキュリティに関する知識を身に付けてもらう取り組みを行ったのでしょうか。

茂岩氏:はい。ただ、AWS等を操作する開発エンジニアの方々は多忙なため、セキュリティに関して自分で学習したり自己研鑽(けんさん)したりするような時間はなかなか取れません。そこで、研修プログラムを作りました。その上で、ゲーム開発チームの中でも最低1人はこのプログラムを受講し、新しい知識を身に付けてから取り組んでください、というかたちにしたのです。そうしたセキュリティ教育のパッケージは、我々がゼロから作ったわけではなく、AWSのエンタープライズサポートなどを契約すると、テクニカルサポートが付くため、そのサポートの方々と協力しつつ、最低限必要なトレーニングマテリアルを作成して取り組んでいきました。

登坂氏:そうしたトレーニングを受ける中で、権限を渡された時点で生じる責任についても理解してもらうようにしたのでしょうか。

茂岩氏:もちろん、権限に伴う責任に関する内容もトレーニングに盛り込みました。ただ、それでも不十分な場合もあるため、“ガードレール”のように検知するための仕掛けを作り、何か問題があればインフラ部隊などに通知が行き、発見できるようにすることが非常に重要でした。

登坂氏:業界問わず、非常に参考になる取り組みだと思います。いわゆる特権アカウントの配布に関しても、より厳しく管理するかたちになるのでしょうね。

茂岩氏:そうですね。基本的にはルート権限は使わないというのがAWSのベストプラクティスにもなっていますので、我々も非常に厳しく制限していました。例えば、どうしても必要な場合には二要素認証を使ったり、さらにアカウントにログインすると複数のスタッフにその旨が通知されたりするような仕掛けにしておくのが重要だと思います。

M&Aチームとの日頃からのコミュケーションの重要性

登坂氏:次に、ゲーム業界では買収などが頻繁にされ、そうした激しい組織環境の変化の下で、いかにしてセキュリティを担保するのかについてお聞かせいただけますか。

茂岩氏:ゲーム業界に限らず、大きな企業──すなわちある程度のセキュリティレベルを保って運用している企業が、スタートアップのようなまだセキュリティまで十分に考慮できない企業のアプリケーションやプロダクトを買収するケースは多いかと思います。そうすると、社内でスタンダードとしていたセキュリティポリシーの下に、セキュリティレベルが低いアプリケーションやプロダクトが入ってくることになってしまうわけです。

その際には、社内の全てのアプリケーション/プロダクトを、ある一定のセキュリティレベルにまで引き上げなければなりません。しかし、なかなか一筋縄ではいかないのが現実です。セキュリティよりも買収したアプリケーション/プロダクトで売上を伸ばす方が先なのではないか、というビジネス上の優先度とどう折り合いをつけていくかが非常に悩ましい問題だからです。

登坂氏:おそらくそこには、自社のセキュリティレベルや、アプリケーション/プロダクトの買収対象となった会社のセキュリティレベル、買収のために要した時間やコスト、これから見込める収益など、それらを含めて判断を仰ぐことになるので、かなり大変そうですね。

茂岩氏:そうですね。なので、M&Aチームとは普段からコミュケーションを取っており、もしこのような案件があったときは、時間はかかりますが、「最終的にはこうしたセキュリティの状態に揃えよう」と、合意を日頃から取り付け、目線合わせをしていくのが非常に大事です。

登坂氏:買収した後でどうこうというよりも、その前段階で日頃からM&Aを担う部署と連携をし、こうした場合にはどうするかといった事柄を事前に整理して共有しておくことが重要なのですね。

茂岩氏:極端に言えば、セキュリティ上問題のあるアプリケーション/プロダクトを買収したら、後にそれが自社の負債となる可能性もあるということです。そうならないために、できる限りデューデリジェンスの段階で、セキュリティリスクに関する指摘もし、それでもサービスやアプリケーション/プロダクトが欲しいということであれば、M&Aチームと積極的に調整を行っていくことが大切だと思います。

脆弱性診断の内製化におけるポイントとは

登坂氏:3つ目の課題である、開発スピードに対する脆弱性診断に関しては、どのように取り組んだのでしょうか。

茂岩氏:10年以上前、DeNAでセキュリティチームを立ち上げるときにまず取り組んだのが、脆弱性診断の内製化でした。国内だけでなく海外も含めて数多くのゲームを並行で開発していると、どうしても遅延が生じます。当初、脆弱性診断は外注していたのですが、そうした遅延によるスケジュール調整が非常に大変でした。開発の規模が拡大していく中で、ある時、外注による診断を続けていくのは難しいと気づき、脆弱性診断の内製化を進めていきました。

もちろん、全ての会社が脆弱性診断を完全に内製化できるわけではないのですが、軽微な改修は自分たちでできるようにしたり、開発エンジニア自身が自動化ツールを使って診断したりと、様々なやり方があるので、より迅速さが求められる場合などに選択肢を残しておくというのは、非常に重要だと感じました。

登坂氏:全て自分たちで診断できれば理想ですが、それが難しいからこそ自分たちで診断し判断すべきケースを整理しておくことが大事なのでしょうね。

茂岩氏:そうですね。脆弱性診断と言ってもたくさんの手法があり、全ての手法を適用している会社は少ないと思います。少なくともゲーム業界であれば、自分たちのアプリケーションに合った方法をあらかじめ決めてから実践しているところが多いでしょう。そのため、脆弱性診断にかかるコストと労力、あとは重大な問題を見逃さないための勘所みたいなものを自分たちの中で持ち、それを基にしてどこを内製化するのか、どこを外注するのかを考えていくべきでしょう。

その際に大事なのは、誰がその脆弱性診断の役割を担っているのかを明確にし、曖昧にならないようにすることです。最も避けなければいけないのは、気がついたら誰もケアしていなかったという状況です。そうならないよう役割分担をしっかりと関係者間で決めておく必要があるのです。

登坂氏:ありがとうございます。これまでゲーム業界におけるセキュリティ上の3つの課題についてお話いただきましたが、最後に改めて留意点を聞かせてください。

茂岩氏:最初のトピックスとしてもありましたが、クラウド化による意図しないセキュリティ不備について、トレーニングなどの話も出ましたが、検知するためのガードレールや自動的に検知できる仕組みがAWSやGCPにも備わっているのでしっかりと活用してほしいと思います。

あとは、ゲームは普通のアプリケーションに比べてチートされやすい面もあるので、チートの情報を集めて観測し、対応していくことも必要になってきます。ゲームを安全に運営するために、障壁となるものを検知して取り除くということが重要です。

登坂氏:ゲーム業界特有のお話もあり、またエンタープライズIT全般に通じるお話もあって、大いに勉強になりました。ぜひ皆さんも参考にしていただければと思います。

ゲームの世界において、プログラムの不正な改造や通信内容の改ざんを行い、ゲームバランスを崩壊させることによって、正規の利用では本来できないことをできるようにする行為のこと。

関連リンク

・DevOps CI/CDサイクルにおける
アプリケーションセキュリティの脅威と脆弱性を検知・修復:
アプリケーションセキュリティテスト「FortiDevSec」
https://www.fortinet.com/jp/products/fortidevsec

・クラウド上でエンタープライズレベルの保護を実現する、
クラウドネイティブのネットワークファイアウォールサービス「FortiGate CNF」 https://www.fortinet.com/jp/products/public-cloud-security/cloud-native-firewall

[PR]提供:フォーティネットジャパン