攻撃者視点の非管理 IT 資産調査事例
セガサミーホールディングス株式会社
高精度な ASM サービスの利用により国内外のグループ各社の IT 資産を網羅的に可視化
セキュリティリスクへの対処が可能になり、グループガバナンス強化に貢献
業種 | メディア・広告・エンターテインメント |
---|---|
テーマ | セキュリティ |
(左から)セガサミーホールディングス株式会社 ITソリューション本部 プラットフォーム部 グローバルセキュリティ推進室 田辺 由嗣 氏、ITソリューション本部 プラットフォーム部 グローバルセキュリティ推進室 プロフェッショナル 佐藤 正博 氏
グループで多数のブランドを所有も管理が行き届いていない IT 資産が数多く存在
セガサミーホールディングスは、2004年にゲームメーカーのセガと、遊技機メーカーのサミーが経営統合し誕生した、総合エンターテインメント企業グループだ。現在は、「感動体験を創造し続ける ~ 社会をもっと元気に、カラフルに。 ~ 」というミッションのもと、ゲームコンテンツからトイ ・ 映像に至るまで多種多様な “ 遊び ” を提供する「エンターテインメントコンテンツ事業」、ぱちんこ ・ パチスロの開発から販売までを手がける「遊技機事業」、ホテルの開発 ・ 運営等を行う「リゾート事業」を軸に、さまざまな事業を展開している。
同グループは国内外およそ 60社のグループ会社から構成されている。各グループ会社は、エンターテインメント業種という特性から多数のブランドを保有しているが、そのすべての IT 資産を適切に管理できていたわけではなかったという。ITソリューション本部 プラットフォーム部 グローバルセキュリティ推進室の田辺由嗣氏は「海外や国内グループ会社の中には独自の IT 部門を持っているところもありますが、それ以外は当社のシステム部門で管理を行っていました。しかし、その数はあまりにも多く、全ての IT 資産を正確に把握することは困難でした」と語る。
その中には、グループ会社や部門が独自に設置したため、システム部門が存在を知らない、いわゆる野良サーバーが数多く存在していた。また、プロジェクトが終了した後も、管理の方不在のまま放置されたサーバーやドメインも少なくなかったという。 「管理されていない IT 資産は、サイバー攻撃により乗っ取られ、セガサミーの名前やドメインが悪用されるなど、セキュリティインシデントにつながるおそれがあります」(田辺氏)
同社では過去 IT 資産を調査するサービスを別の調査会社に依頼して取り組んだが、調査結果にノイズ(実際には自社所有ではない IT 資産情報)が多く、自社に関連する IT 資産か、どのグループ会社の IT 資産かを選別する作業にかかる手間やコストが大きな問題となった。そのためグループを挙げての実施にはなかなか踏み切れないでいた。
トライアルで調査精度の高さを証明。ノイズが除去され作業負荷が軽減
セガサミーホールディングス株式会社 ITソリューション本部 プラットフォーム部 グローバルセキュリティ推進室
田辺 由嗣 氏
そこでセガサミーホールディングスは、かつて同様の調査を依頼したことのある日本ビジネスシステムズ(以下、JBS)に相談した。その際、調査の精度が高いこと、運用の手間がかからず既存環境への負荷がないことなどの要件を挙げた。
「当社の保有する IT 資産の数は非常に多いので、当社に関連する IT 資産を精度高く調査可能なことを必須としました。また、調査結果としてどのグループ会社の IT 資産であるかまでレポートできることが、調査後の対処で大幅に作業工数を削減する重要な要件であると考えました」(田辺氏)
これを受けて JBS は 2021年夏、同社に上記要件を満たす「Attack Surface Management(以下、ASM)サービス」を提案。これは、マクニカが独自に提供する「Mpression Cyber Security Service」のソリューションのひとつで、マクニカの擁するスペシャリストが、攻撃者と同じ視点やテクニックを用いて外部公開資産の調査を行う点に特徴がある。
「ASM サービスは、マクニカのエキスパートが調査結果を精査することで人間ドックのような高精度な調査ができる点が魅力で、まさに私たちが求めていたサービスでした。採用の決め手は、デモを見せてもらったとき、私たちが提供した情報が大雑把なものだったにも関わらず、ノイズが除去され、当社関連の IT 資産に絞り込んだかなり精度の高い結果を示してくれたことです。これなら作業負荷を大幅に軽減できると考えました。さらに、調査において、既存環境に対して脆弱性診断のような疑似攻撃パケットが送信されないため、サーバーに負荷がかかることがないことも評価しました」(田辺氏)
網羅的な調査によりリスクを抱えた IT 資産が可視化。グループのガバナンス強化に大きく貢献
セガサミーホールディングスは 2022年10月より ASM サービスによる IT 資産の調査を開始。12月にマクニカより最終報告を受けた。
「数年前、同様のサービスを利用した際は、あらかじめグループ各社にヒアリングして回答をもらうなど、事前の準備が大変でした。また調査結果を確認すると、実際は当社所有ではない IT 資産だったということも少なくありませんでした。
今回は準備も不要な上に、膨大な IT 資産があったにも関わらずノイズが除去された高精度な調査ができました。調査結果もグローバルのどの会社のものか整理されていたため、資産の振り分けなどで特に苦労することもなく、グループ各社にも負担をかけずに済みました」(田辺氏)
ASM サービスの調査結果によれば、同社の保有するドメインは約 1200 に及ぶ。その中には、これまでシステム部門が把握しておらず、かつリスクの存在するものもあった。ITソリューション本部 プラットフォーム部 グローバルセキュリティ推進室 プロフェッショナルの佐藤正博氏は「今回の調査により、膨大な IT 資産の中から古いドメインや、管理の方不在のドメインやコンテンツなど、リスクのある 10数件の IT 資産を発見できました。特に、他社とコラボレーションしたプロジェクトなどで、一時的に作成したドメインやサイトをピンポイントで発見できたことは大きいですね。これらは当時のプロジェクト担当の方ですら把握していないこともあり、発見できたのはとてもありがたいです」とサービスの効果を語る。
セガサミーホールディングス株式会社 ITソリューション本部 プラットフォーム部 グローバルセキュリティ推進室 プロフェッショナル
佐藤 正博 氏
調査では、脆弱性のある古いバージョンのソフトを使用していたサーバー、古いミドルウェアや証明書を使用しているサーバー、リスクの高いポートや外部公開を控えるべきポートの使用、機器の設定不備なども見つかっているが、中にはクリティカルなリスクもあったという。
「これらについては、急ぎ各社に連絡し対処してもらいました。幸い、これまで悪用されたケースはありませんでしたが、悪意ある攻撃者に利用されていたら、セキュリティインシデントにつながりかねませんでしたね。そういう意味では、これらのリスクある IT 資産を可視化して対処できたことで、グループのガバナンス強化に大きく貢献したと考えています」(佐藤氏)
なお同社では現在、新規で立ち上げるサイトやコンテンツについて脆弱性診断を義務化しているが、既存のものについては担当の方不在などの理由から実施できていなかったという。
「その部分を今回 ASM サービスが埋めてくれたのは助かりました」(佐藤氏)
定期的に調査を実施し、IT 資産を適切に管理したい
今回の調査を通じ、定期的な診断の必要性を再確認したセガサミーホールディングス。同社は今後も定期的に調査を実施していきたいとしている。
「日々新しい脆弱性が発見されていることを考えると、サーバーやミドルウェアの更新を怠ることはできません。しかしながら、すべての IT 資産、特に外部に委託して作成したものについては、詳細まで把握することは困難です。さらに、クラウドサービスの利用が拡大していることを考えれば、少なくとも年に 1回は調査を実施して全体像を把握し、適切に対処を図っていきたいと思います」(佐藤氏)
JBS 担当者からのコメント
セガサミーホールディングスさまには数年前に類似サービスで、「見えない脅威」の洗い出しを実施させてもらいましたが、 今回も JBS を通じてサービス提供をさせてもらいうれしく思います。 前回は事前準備におけるお客さま側の手間の煩雑さや、アウトプットの粒度の粗さなどが課題としてありましたが、ASM では、その課題が見事に解決されていて、良いご提案ができたと思います。 今回、上記の課題に対してタイミングよく、ASM をご提案いただいたマクニカさまにも感謝したいと思います。 セガサミーホールディングスさまでは ASM を「セキュリティの定期人間ドック」の如く、実施いただくということですので、今後も JBS にてご支援させていただければ幸いです。
通信・メディア事業本部 メディア・エンターテインメント部
酒井 大輔
セガサミーホールディングスさまはプロジェクト期間中でも、都度脅威に対して素早く対応して、セキュリティ意識が高いと感じられました。外部公開された IT 資産は、攻撃者のターゲットになりやすい状況ともいえます。自社の資産と内在する脅威を洗い出し、的確に対処する姿勢がグローバル企業としての責任を果たしていると感じられました。セキュリティの基本は「資産管理」とは言うものの「野良サーバー」の資産管理は実質不可能でした。
今回、JBS はプロジェクトマネージャーとしてこのプロジェクトに参画しましたが、ASM は的確に野良サーバーを含む自社の外部公開資産を洗い出すことができる効果的なサービスだと感じました。
クラウドソリューション事業本部 ネットワークインテグレーション部 セールスプロモーショングループ
西脇 史郎
セガサミーホールディングス株式会社
代表者:代表取締役社長 グループCEO 里見 治紀
本社所在地:東京都品川区西品川1-1-1 住友不動産大崎ガーデンタワー
設立:2004年10月1日
資本金:299億円(2023年3月31日現在)
事業概要:総合エンタテインメント企業グループの持株会社として、グループの経営管理及びそれに附帯する業務
株式会社マクニカ
代表者:取締役会長 中島 潔
代表取締役社長 Co-CEO:原 一将
本社所在地:横浜市港北区新横浜1-6-3 マクニカ第1ビル
設立:1972年10月30日
資本金:111億9,426万8千円(2023年3月31日現在)
事業概要:半導体・集積回路などの電子部品の輸出入、販売、開発、加工、電子機器並びにそれらの周辺機器及び付属品の開発、輸出入、販売、その他