連載
» 2015年04月03日 05時00分 公開

@IT セキュリティセミナー 東京・福岡・大阪ロードショーリポート(3):CSIRT立ち上げ、セキュリティ内製化、攻撃の研究――いまこそ最前線の声を聞け! (3/4)

[@IT]

ディー・エヌ・エーが語る「情報セキュリティ内製化のススメ」

 インターネットを通じてさまざまなゲームやサービスを提供いているディー・エヌ・エー(DeNA)。そのシステム本部 セキュリティ部部長を務める茂岩祐樹氏は、「事業会社の情報セキュリティ内製化のススメ」と題する講演の中で、決してセキュリティを本業とするわけではない同社が、自社内にセキュリティチームを持ち、検査に取り組んでいる理由を説明した。

ディー・エヌ・エー システム本部 セキュリティ部部長 茂岩祐樹氏

 動きの速いゲーム業界に向け次々と新しいタイトルやサービスを投入しているDeNAだが、「今、スクラッチで書いているのは1割くらいで、ほとんどはオープンソースや既存のコードを使っている。従って、使っているミドルウエアやパッケージにも目を光らせなくてはいけない。もし、オープンソースソフトウエアに問題が見つかったとき、速やかに機能をオフにできるようにするには、どこでどんな機能を使っているか、どんなミドルウエアを使って連携しているかを把握しておく必要がある」(茂岩氏)。それが、内製化のポイントの一つにもなっているそうだ。

 もしソフトウエア開発時に新たなオープンソースソフトウエアを利用したい場合は、自分たちにどういった影響が及ぶ恐れがあるのか、セキュリティチームが確認した上で判断を下している。「便利だからといって何でも使ってしまうと、自分たちのソフトに何を取り込むか分からないことになってしまう」(茂岩氏)。

 もう一つ、同社が自力で取り組んでいるのは「セキュリティ診断」だ。一口にセキュリティと言っても、カバーすべき分野は多岐にわたる。いきなり全てに取り組むのは難しい。「そこで僕らがやったのは、選択と集中。頻度やインパクト、難易度などの観点で見て、うちで取り組むべきは診断だと判断した」(茂岩氏)。

 繰り返しになるが、同社では数ヶ月単位で新たなサービスを開発し、リリースしている。中には手戻りが発生したり、逆にリリースを早めたりすることもあるが、セキュリティ診断を外部の会社に依頼している場合、こうしたスケジュール変更に柔軟に対応してもらうのが難しかった。加えて、ゲームに関するセキュリティ診断の経験がある会社が少なかったこと、自分たちにフィットしたレベル感のレポートを求めていたことなど、いくつかの理由から、自社で実施することに決めたという。

 「最初はスモールスタートでした。ツールはお金をかけずにオープンソースソフトウエアを利用し、人手は自分と、それから少しずつ社内の仲間を探して引き入れていきました」(茂岩氏)。トレーニングを通じたスキルアップや、カンファレンスでヨコのつながりを培うことで、少しずつ体制を強化してきた。

 その中で学んだことが「セキュリティにも、インフラにおけるDevOpsのような取り組みが必要。平たく言えば、開発と運用が仲良くしないとダメということ。開発と運用が分断されていると、後々問題が起こりがちだけれど、運用メンバーが開発設計段階から参加し、フィードバックしていくことで、問題に早く気付いて修正できるようになる。セキュリティも同じで、システムの設計構築段階から食い込むべき」(茂岩氏)。

 そして、「内製が鍵となるのは、組織を理解し、一人称で問題に取り組めるから。中にいる人が責任を持って、開発や企画の人たちと目的を共有して『自分たちの事業だから、一緒に守ろう』と取り組めることがポイントだ」とした。

 ただ、いきなり全てをうまく回そうとしても無理がある。同氏は最後に、「完璧を目指さないこと」「時にはあきらめも重要で、本当に守らないといけないのはどこかを見極め、そこから広げていくこと」といったアドバイスも送っている。

【関連記事】

DevOpsで変わる情シスの未来(3):

DeNAのサービスが強い、速い、本当の理由(@IT)

http://www.atmarkit.co.jp/ait/articles/1311/01/news123.html


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。