きっかけは国際的な情報セキュリティカンファレンス"CODEBLUE"

神戸: まず、御社の事業内容とセキュリティの運用体制について教えてください。

高井: 当社は、ゲームを軸としたIPプロデュースカンパニーです。ゲーム事業では自社IPである「八月のシンデレラナイン」をはじめ他社のゲーム開発や運営も行っており、未就学児向けのYouTubeコンテンツ「クマーバチャンネル」といったIP創出事業も手掛けています。キャラクターの世界観を深く掘り下げ、ファンと長期的な関係を構築することでグローバルに突き抜けることを目指しています。

駒井: 当社のセキュリティ部門には、CTO兼CISOのもとゲームアプリケーションに対する脆弱性管理を担当するセキュリティエンジニアがおり、高井や私が所属するクラウドインフラセキュリティ対策チームがあります。私たちのチームは組織横断的にセキュリティやコンプライアンス遵守に責任を持ち、FutureVulsの運用管理も担当しています。

神戸: 御社には2年前からFutureVulsを採用いただいていますが、最初に知っていただいたきっかけは、2019年に開催された国際的な情報セキュリティカンファレンス"CODEBLUE"で、御社のCTO兼CISOの田中勇輔さんと意気投合したことでした。

駒井: そうですね。2019年の夏頃に、田中を中心に全社的なセキュリティ対策を推進するなかでFutureVulsのことを知りました。ゲーム業界はユーザーの熱量が高いこともあり、ハッカーたちが何とかして最新情報を取ってやろうと、あの手この手で脆弱性を突き、攻撃してくるといったことが日常茶飯事です。当社も度重なるBotからの攻撃やチートなどを経験し、その結果、組織としてセキュリティに対する意識が醸成されました。 **　:** 現在は脆弱性情報を毎日自動チェックしていますが、それ以前は、JVN（Japan Vulnerability Notes）などから取得した情報のうち緊急度の高いものや、ニュースになったものを中心に取得し、それを各プロジェクトのエンジニアに周知して対応していました。どのサーバーのソフトウェア更新が必要かなどは各プロジェクトの担当が判断しなければならず、どこまで対応が完了したのかも確認する手段がありませんでした。裁量依存、メンバー依存の体制でした。

マルチクラウド環境でも脆弱性を一元管理。コンテナスキャンも活用

神戸: どういった点がFutureVuls導入の決め手になったのか、御社のシステムの特性も踏まえて教えてください。

高井: モバイルゲームはイベントがオープンすると大勢のユーザーが一斉にアクセスするので、バックエンドでは、ゲームごとにAWS（Amazon Web Services）やGCP（Google Cloud Platform）上に何百ものサーバーが存在し、稼働しています。システムアーキテクチャは、アプリケーションサーバー、データベース、キャッシュシステムというシンプルなWEB三層構造のような作りになっていて、アプリケーションはコンテナ技術を使って管理することでスケールしやすくしています。ほぼ全てのプロジェクトがコンテナ化されていると言っても過言ではありません。

駒井: FutureVulsがクラウド環境とシームレスに連携できる点は非常に魅力を感じましたし、マルチクラウド環境に対して脆弱性を一元管理できるのも魅力でした。検討段階で試用期間を設けていただいたので、導入の容易さだけでなく、FutureVulsがカバーする脆弱性データベースの充実度も他社より優れていることがよくわかりました。また、サーバーの構成上、プロジェクトによって脆弱性検知のタイミングにもバラつきがあるのですが、FutureVulsでは対応方法が分かりやすく提示されるので、担当者が効率的に対応できるようになりました。サポート面でもFutureVulsを開発された皆さんと直接話ができるのは心強かったです。おかげでSlackでの通知機能の実装といった要望についても柔軟に対応していただきました。

高井: 当社のシステムの特長であるコンテナに対しても、FutureVulsのコンテナスキャンを活用しています。他社のものも試しましたが、どうしてもディストリビューション毎の差分が吸収できず、全然違う検知情報があがってきてしまうという課題がありました。他にもライブラリー系のスキャンなどプロジェクトによっては機能をうまく活用し、運用しているところもあります。

運用を効率化し、本業に専念できる体制へ

神戸: FutureVulsを日々どのように運用していますか。

高井: 重要な脆弱性が発見された場合、Slackの通知機能を使って各グループの担当者に通知します。各グループの担当者はFutureVulsのポータルで脆弱性の内容を確認し、必要であれば対応していきます。我々のチームは、各プロジェクトのサーバーの脆弱性を一元的に確認できるようになり非常に助かっています。また、運用が確立したことでセキュリティ意識も高まり、プロジェクトによっては、毎日夜間にAWSのパッチマネージャー機能でパッチ適用を行い、本番環境をメンテナンスする際には重要な脆弱性が発見されていなくてもAMI（Amazon Machine Image）を更新するようになりました。

駒井: 日々、多くの脆弱性が検知され、「今までだったら検知できていなかったのでは？」と思うことが多々あります。脆弱性対応はサーバーシステムの運用に必要なオペレーションですが、FutureVulsを導入することでより効率的な運用ができ、我々として本来注力すべきゲーム開発に専念できる体制になったと思います。

セキュリティは「コスト」ではなく「投資」。"Unusable security is not security"

神戸: 御社では無償版のOSS Vulsではなく有償版のFutureVulsを採用いただいています。その理由をお聞かせください。

高井: 当社が導入しているのは、年間契約を結ぶFutureVuls CSIRTプランですが、OSS版Vulsで運用するとどうしても属人的になる部分もあるので、確実にセキュリティ対策に繋がる方を採用しました。また、OSS版Vulsをベースに自分達で管理画面を開発するコストを考えれば高くないと思いました。当社は情報システムのセキュリティに対して、コストパフォーマンスよりも「よりセキュアになる方法に投資する」という方針で動いています。

駒井: ただし、セキュリティ対策において"Unusable security is not security"だと考えています。制約だらけで使いづらいシステムにしてしまうと抜け道ばかり利用され、結果、"Not Secure"になってしまうということです。私たちは門番というよりガードレールのように、何かしようとしたら検知して適切な方に誘導するシステム運用を心がけています。その点、FutureVulsは使いやすさとセキュアを兼ね備えているので、脆弱性検知に関する運用が日々なされていない会社にはぜひ使ってみてほしいです。