導入から3年、不正アクセス0件――MIXIが「ゼロトラスト」セキュリティに至るまでの課題と解決方法ITmedia Security Week 2023 春

2023年3月に開催された「ITmedia Security Week 2023 春」の「クラウド&ゼロトラスト」ゾーンにおいてMIXI 開発本部 セキュリティ室 室長 亀山直生氏が「MIXIにおけるゼロトラストの取り組み」と題して講演した。

» 2023年03月31日 05時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 スポーツ、ライフスタイル、デジタルエンターテインメントと幅広いエリアでサービスを提供するMIXIが、いかにしてゼロトラストにたどり着いたのか――。亀山氏は運用上の課題やその解決方法を含めて解説した。

リモートとオフィスを融合する「マーブルワークスタイル」実現のために

MIXI 開発本部 セキュリティ室 室長 亀山直生氏

 MIXIは、公営競技やスポーツ観戦事業などを含むスポーツ、「家族アルバム みてね」「minimo」、SNS「mixi」などを含むライフスタイル、「モンスター ストライク」「共闘ことばRPG コトダマン」などゲームやアニメーションを含むデジタルエンターテインメントの3つの領域で事業を推進している。2022年3月には、部署ごとに出社回数を選択でき、テレワークもできる「マーブルワークスタイル」を正式に制度化、働き方をより柔軟にする施策を発表している。

 それをシステム面で支えるのは、やはりセキュリティの力だ。亀山氏が在席するセキュリティ室では、MIXIの幅広い業務の基本となる全体戦略を策定している。セキュリティ室ではアタックサーフェスについて、「自社が運営するサービス」「社内システム」そして「人間」の大きく3つに分けて対策を進める。自社サービスは事業部門が、社内システムは社内システム部門が、人間に対しては各人、各部が対策を講じ、MIXIとしての共通戦略として教育啓発やチェック、万が一の事故に対応する。

MIXIが考えるアタックサーフェスとその対策(亀山氏の講演資料から引用)

 これらの戦略につながる「戦術」として、セキュリティ室が支援するのは脆弱(ぜいじゃく)性診断やIaaS監視、EDR(Endpoint Detection and Response)などがある。重要な戦術の一つは今回のテーマでもある「ゼロトラスト支援」だ。

 亀山氏によると、MIXIがゼロトラストに取り組む背景には2つのポイントがあったという。1つは2020年からのコロナ禍対策としてリモートアクセスの需要が高まったこと、もう1つはセキュリティの情勢変化にある。後者について亀山氏は「境界防御だけでは不十分という風潮が高まり、コロナ以前から社内システムのセキュリティの一部に課題感を持っていた。社内だからといって認証やアクセス制限が甘くなっている部分もあり、攻撃の横展開が心配だったので、検証はかなり前から進めていた」と話す。

 リモートアクセスに関しても、MIXIでは課題を感じていた。VPNクライアントを起動しなければならないので、これが面倒なだけでなく、クラウドサービスの利用時もいったん社内のネットワークを経由するので遠回りになること、そもそも全従業員が同時に使うことを想定していなかったのでキャパシティーの問題が顕在化してしまったこと、さらには攻撃者の発見や除外が困難なことなどだ。

リモートアクセスの場合、攻撃者の発見がこれまでよりも難しい(亀山氏の講演資料から引用)

 MIXIはこの課題を解決するためにリモートアクセスの方式を大きく変更した。社内ネットワークだからといって、それだけで安心とは考えない世界観をベースに、クラウド上にプロキシとなるポリシーエンフォースメントポイントを置き、そこでIdP(Identify Provider)による認証を必要とする方式だ。

現在のMIXIのリモートアクセス環境(亀山氏の講演資料から引用)

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。