今回、マイネットは、人気スマートフォンゲームタイトルの一部機能を対象とした「スマートフォンゲーム診断」を実施しました。診断実施の背景や感想について、同社インフラセキュリティグループ エンジニアの前田高宏さんにお話を伺いました。

過去の教訓を踏まえ、プロダクトセキュリティの強化に着手

ーー前田さんは、マイネットでどのようなお仕事をされていますか？

マイネットでは、社内の技術領域を統括する組織として技術部があります。私は、技術部の中にあるインフラセキュリティグループ（以下、セキュリティグループ）に所属し、社内システムとインフラのセキュリティ管理、運用を担当しています。また、技術部内のエンジニアリング統括グループ（以下、エンジニアリンググループ）と連携して、PSIRTとしての活動も行っています。

弊社では、他社様から移管したゲームタイトルの運営を中心に、受託運営・開発や自社タイトルの新規開発などを行っています。そのため、ゲームタイトルごとに開発スタイルや開発環境が異なる場合も多くあります。

私達セキュリティグループでは、セキュリティ診断の進行や脆弱性検知ツールの運用、インフラやバックアップの各種ポリシー適用を通して、ゲームタイトルのセキュリティ対策を行っています。

ーーどのような方針でプロダクトセキュリティ施策を進めていますか？

2018年、弊社は不正アクセスによるインシデントを起こしてしまいました。悪意のある何者かが社内のネットワークへ侵入、正規の認証情報を取得し、各ゲームタイトルのシステムへ攻撃を行いました。攻撃されてしまったタイトルは13タイトルにおよび、再開まで5ヶ月近くサービス停止となったタイトルもありました。

これを機に、二度とインシデントを起こさないために体制面・システム面での対策を実施しています。セキュリティ委員会、CSIRTといった全社的なセキュリティ体制の立ち上げを行い、脆弱性診断（セキュリティ診断）の実施などについても方針を定めました。この方針を受けて、現在では、他社様からゲームタイトルを移管いただいた際は、一定の期間内にセキュリティ診断を実施するようにしています。

ーーこれまで、どのような体制でセキュリティ診断を進めてきましたか？

基本的には私の所属するセキュリティグループが進行を務めており、診断対象となる各タイトルのプロジェクトメンバーに協力してもらいながら、診断に必要な環境の準備を進めています。

診断の実施結果については、プロジェクト、エンジニアリンググループ、セキュリティグループの3者で共有しています。3者でリスクや対策方法などの対応方針を議論した上で、事業責任者に診断結果に対する対応方針を提言し、承認が得られたら速やかに対応しています。改修の判断をプロジェクトサイドに丸投げするのではなく、プロジェクトも含めた社内のステークホルダーの合意形成を図りながら進めているような形です。

スマートフォンゲームだからこそ求められる慎重な対応

ーー今回診断対象となった、スマートフォンゲームについて教えてください。

長年ファンに愛されている人気タイトルです。ゲームとしての側面もありながら、ストーリーやコミュニティとしての機能が充実しているのが特徴です。

一般的な脆弱性への対応ももちろんですが、いわゆるチート行為についても対応を強化しています。ゲームの中では1つのコミュニティが出来上がっている場合が多くなっています。チート行為が疑われるユーザーを運営が発見した際に「当該ユーザーをすぐにBANする」という行動を取った場合、一見筋が通っているように見えますが、そのコミュニティに属する他のユーザーから見るとそうではないかもしれません。コミュニティに対してどうバランスを取っていくか、慎重な判断が求められます。

ーー今回の診断実施の背景について教えてください。

このゲームタイトルは元々他社様で開発・運営されていたのですが、弊社に移管いただくことになりました。先程お話したとおり、弊社では「ゲームタイトルの移管時にセキュリティ診断を実施する」という方針を取っていますので、今回もその方針に則ってセキュリティ診断を実施することに決めました。

やり取りを重ねるうち「高い技術力と信頼感」を強く実感

ーー業者選定にあたり、重視したポイントは何でしたか？

今回は、「診断対象が他社から移管されたゲームタイトル」という条件がありました。診断対象が自社開発のゲームタイトルの場合、プロダクトの仕様に関するドキュメントは限られているケースが少なくありません。各種ドキュメントの整備を必須とするのではなく、柔軟的かつ効果的に実施可能なベンダーさんであるかどうかを重視していました。

これまでも外部ベンダーさんにセキュリティ診断の実施を依頼していましたが、最近の依頼先がほぼ1社に固定されてしまっているような状況だったので、他のベンダーさんに診断を実施いただくことで、これまでとは異なる観点からセキュリティリスクをチェックいただけるのではないかという期待感を抱いていました。

ーーどのようなきっかけで、Flatt Securityのことを知りましたか？

クラウド周りのセキュリティ設定について調べた際、Flatt Securityさんの技術ブログに辿り着き、参考にさせていただいたことをきっかけに、興味を持ちました。

セキュリティ診断の実施事例を拝見したところ、BtoB SaaSを提供している企業に対する実施実績が多いようだったので、当初はそのような領域に強いイメージを持っていました。しかし、調べるうちにスマートフォンゲームを対象とした診断メニューも提供していることを知り、お声がけさせていただきました。

ーー最終的にFlatt Securityに依頼した決め手は何でしたか？

発信されている情報から確かな技術力を感じ、「安心してセキュリティ診断をお任せできそう」と思っていましたが、お打ち合わせ時に、Flatt Securityのセキュリティエンジニアの方と直接お話する中で、その実感は強まりました。やり取りを重ねる中で、ゲームセキュリティや仕様に対する理解の深さを感じました。高い技術力と信頼感が、依頼の決め手になったように思います。

「診断後の改修までを見据えたフォロー体制」に高い満足感

ーー実際に診断を受けられてみて、いかがでしたか？

今回は限られた予算の中での対応をお願いしたのですが、診断範囲の優先度もご提案いただけたので、効率的に診断範囲を選定することができました。予算内で効果の高い診断が実施できたのではないかと感じています。

診断期間中もやり取りさせていただいたのですが、レスポンスが非常に早く、驚きました。セキュリティ診断の流れや準備事項を案内したハンドブックもご提供いただけたので、全体的にスムーズに進行したように思います。

※セキュリティ診断費用の見積もり資料はこちらで配布中です。

また、診断報告書に、診断結果だけでなく推奨する実装方針についても詳しく記載いただいているのが印象的でした。これは、高い技術力がないとできないことだと思います。コードレベルでの非常に具体的なフィードバックをいただけたので、大変参考になりました。「診断を実施して終わり」ではなく、診断後の改修までを見据えたフォロー体制になっていたので、満足度が高かったです。

※Flatt Securityのセキュリティ診断報告書サンプルはこちらからダウンロード頂けます。

ーー最後に、Flatt Securityに期待していることがあれば、教えてください。

今後は、セキュアな開発に向けた社内教育の強化を図っていく予定です。新卒入社のエンジニアには、セキュリティの基礎を座学で学んでもらっているのですが、ハンズオンでの学習も実現していきたいと考えています。「KENRO」の利用も検討していきたいですし、そういったセキュアな開発の教育に関してお力をいただけると嬉しいです。

ーー前田さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞