セキュリティ対策事例

1983年の創業以来、ゲームエンタ－テインメント分野において数多くのヒット商品を創出する世界有数のゲームメーカー株式会社カプコン（以下、カプコン）。代表作として、「バイオハザード」、「モンスターハンター」、「ストリートファイター」、「ロックマン」、「デビル メイ クライ」などの国内外に数多くのファンを抱えるシリーズタイトルを保有しています。

カプコンは以前からセキュリティ対策強化に注力していましたが、より高度な対策・保護水準の強化に取り組むため、全社的なセキュリティ対策改善に乗り出しました。特に重要な情報資産が集約されるゲーム開発部門では、独自の施策チームを結成、JBS の全面的なサポートを受けながら抜本的な対策強化を進めています。その一環として、ゲーム開発環境を保護するために特権アクセス管理ソリューション CyberArk Privileged Access Manager（以下、CyberArk PAM）などを導入し、ゲーム開発者の負荷を軽減しながら大幅なセキュリティ強化を果たしました。

仮想化基盤上に Linux OS をベースとしたサーバー環境を用意して、各開発者が個々の PC 端末からアクセスするという構成を採っています。各ゲームタイトルの開発プロジェクトごとにリソースを割り当て、必要なサーバーを構築するというスタイルです。プロジェクトが完了すれば当該のサーバー環境を削除し、また新しいプロジェクトへリソースが割り当てられます。

サーバーの運用は、ゲーム開発プロジェクトのプログラマーなどが兼任で担当します。いくつもの開発プロジェクトが同時に進行しているため、不特定多数のサーバー管理者が入れ替わるという状況です。

カプコンは、「遊文化をクリエイトする感性開発企業・カプコン」という理念を持ち、古くから業務用ビデオゲームや家庭用テレビゲームをはじめ、多くの大ヒット作品を世に送り出してきました。

当社は、独自に開発したゲーム基盤技術によって、魅力的なゲームを生み出していると考えています。この技術力は業界でも高く評価されており、権威のある賞をいただいたこともありました。またユニークなキャラクターや世界観などのコンテンツのファンも多く、ワンコンテンツ・マルチユースの考え方で、キャラクターグッズやアニメなど多角的なビジネス展開も行っています。

ゲーム開発は、大規模なタイトルになると 100名以上のスタッフが参画し、数年をかけて行われます。そのため、ゲーム開発環境には膨大な情報資産が保管されます。もし開発用のシステムが侵害され、リリース前のゲーム情報がリークされたり、基盤技術が盗用されたりすれば、当社にとって極めて大きな損失です。

当社の基盤技術研究開発部 基盤開発支援室は、クリエイターがゲーム開発に集中できるように、生産性を高めるための技術導入や、安全性を担保するための規則整備を担当しています。セキュリティ対策のほか、各国・地域の法規制に準ずるためのクリエイター向けのルール作りなど、幅広く円滑なゲーム開発を支援しています。

当社は以前からセキュリティ対策強化に注力していましたが、より高度な対策・保護水準の強化に取り組むため、新たにセキュリティ対策委員会を発足して全社的な対策強化に乗り出しました。基盤技術研究開発部でも、独自に開発セキュリティタスクフォースを立ち上げ、さらなる根本的な改善を検討しはじめました。

ゲーム開発に用いるサーバーは、全社的な情報システムとは異なる環境のため、専用の運用ルールやセキュリティ対策が必要です。システムの提供部門が定めた運用ルールは存在しますが、実運用は各プロジェクトのゲームプログラマーなどが兼任します。担当者は専任ではなく、Linux エンジニアでもないため、どうしても管理があいまいになります。

開発プロジェクトが進行すると管理者もアクセスが限定的になり、パスワード管理やアップデートなどのルールも完全に順守されているかどうかがわからない状況でした。

また最近のゲーム開発は、外部の協力会社なども多く参画し、オンラインで実施されることも増えています。そうしたシステムを含めたゲーム開発基盤全体をより強固に保護するため、セキュリティ対策を強化する施策が必要でした。

今回は、複数のベンダーへ全面的なセキュリティ強化の施策について提案を求めました。その中で JBS は、複数のツールを用いてできるだけ既存の運用を変更せず、担当者に負荷がかからないセキュリティ対策ソリューションを提案してくれました。他社からはネットワーク構成や運用を大幅に変更する方法なども提案されましたが、既存プロジェクトへの影響が小さい JBS の提案が当部門のニーズにマッチしており、支援を依頼することにしました。

JBS の支援は、現状のセキュリティアセスメントと対策強化のためのコンサルティングからスタートしました。広範な 10種類以上のソリューションを組み合わせて、現場への影響を最小限にとどめる手法が提示されました。これらは非常にわかりやすく、当社のニーズにマッチしたもので、セキュリティレベルを向上できると感じました。特権アクセス管理についてもメーカーと共に導入を主導し、ゲーム開発現場のニーズを吸収しながら、必要に応じて当社の情報システム部門と連携し、システムを作り上げてくれました。

当初は、新規プロジェクトを中心に特権アクセス管理を実施するところから始めました。各部門の担当者や責任者へしっかり説明し、協力を得ながら運用フローを調整していく必要があり、進行中のプロジェクトへの影響を鑑みたためです。現在は既存のプロジェクトにも適用し、すべての開発環境を特権アクセス管理によって保護しています。

当初の予定どおり、シングルサインオンを採用し、透過的で生産性を損ねない環境・体制を構築することができました。実際にサーバー運用を担当しているゲームプログラマーからは、「通常の利用はまったく問題ありません」という声も聞いています。説明書などドキュメント類が揃っているため設定などに困ることがなく、疑問があっても JBS がサポートしてくれるため、安心してゲーム開発に集中できると高く評価しています。

また副次効果として、サーバー管理状況が可視化されたことが挙げられます。これまでは正確に監査する手段がなく、抜本的なルール改定や運用方法の見直しのベースとなる情報が得られませんでした。
CyberArk PAM のログ監査機能を用いると、管理者がどのようなタイミングや頻度でアクセスしているかどうかがわかります。一部のプロジェクトでは、使われていない仮想サーバーが立ち上がったままになっている、アップデートが適切に実行されていない可能性があるなど、いくつか問題と考えられる事象を確認できました。こうした情報を基に、運用のルールや方法の改善を積極的に検討していく予定です。

また JBS は CyberArk PAM 以外でもクラウド型サンドボックスでファイルの安全性をチェックするソリューションとその手法を提案・導入してくれました。ゲーム開発現場ではフリーソフトウェアを活用するシーンも多く、承認制を採っていますが比較的自由度の高い運用でした。そこで JBS は、当社と似たような環境を持つ他社での製品の活用事例を紹介していただくなど、期待できる効果がしっかりと理解できたところも非常に効果的だったと感じています。

当社は、今後も技術的なセキュリティ対策強化を推進し、既存の運用方法・ルールを実態に合わせてしっかり見直すと共に、エンドユーザーのリテラシーも向上していかなければならないと考えています。開発セキュリティタスクフォースは今後も継続し、DevSecOps の採用など、開発体制の全面的な改善に努める計画です。今後も JBS には、当社のセキュリティ改革に向けて、情報提供やコミュニケーションなど積極的な支援を期待しています。