検索
連載

導入から3年、不正アクセス0件――MIXIが「ゼロトラスト」セキュリティに至るまでの課題と解決方法ITmedia Security Week 2023 春

2023年3月に開催された「ITmedia Security Week 2023 春」の「クラウド&ゼロトラスト」ゾーンにおいてMIXI 開発本部 セキュリティ室 室長 亀山直生氏が「MIXIにおけるゼロトラストの取り組み」と題して講演した。

Share
Tweet
LINE
Hatena

 スポーツ、ライフスタイル、デジタルエンターテインメントと幅広いエリアでサービスを提供するMIXIが、いかにしてゼロトラストにたどり着いたのか――。亀山氏は運用上の課題やその解決方法を含めて解説した。

リモートとオフィスを融合する「マーブルワークスタイル」実現のために


MIXI 開発本部 セキュリティ室 室長 亀山直生氏

 MIXIは、公営競技やスポーツ観戦事業などを含むスポーツ、「家族アルバム みてね」「minimo」、SNS「mixi」などを含むライフスタイル、「モンスター ストライク」「共闘ことばRPG コトダマン」などゲームやアニメーションを含むデジタルエンターテインメントの3つの領域で事業を推進している。2022年3月には、部署ごとに出社回数を選択でき、テレワークもできる「マーブルワークスタイル」を正式に制度化、働き方をより柔軟にする施策を発表している。

 それをシステム面で支えるのは、やはりセキュリティの力だ。亀山氏が在席するセキュリティ室では、MIXIの幅広い業務の基本となる全体戦略を策定している。セキュリティ室ではアタックサーフェスについて、「自社が運営するサービス」「社内システム」そして「人間」の大きく3つに分けて対策を進める。自社サービスは事業部門が、社内システムは社内システム部門が、人間に対しては各人、各部が対策を講じ、MIXIとしての共通戦略として教育啓発やチェック、万が一の事故に対応する。


MIXIが考えるアタックサーフェスとその対策(亀山氏の講演資料から引用)

 これらの戦略につながる「戦術」として、セキュリティ室が支援するのは脆弱(ぜいじゃく)性診断やIaaS監視、EDR(Endpoint Detection and Response)などがある。重要な戦術の一つは今回のテーマでもある「ゼロトラスト支援」だ。

 亀山氏によると、MIXIがゼロトラストに取り組む背景には2つのポイントがあったという。1つは2020年からのコロナ禍対策としてリモートアクセスの需要が高まったこと、もう1つはセキュリティの情勢変化にある。後者について亀山氏は「境界防御だけでは不十分という風潮が高まり、コロナ以前から社内システムのセキュリティの一部に課題感を持っていた。社内だからといって認証やアクセス制限が甘くなっている部分もあり、攻撃の横展開が心配だったので、検証はかなり前から進めていた」と話す。

 リモートアクセスに関しても、MIXIでは課題を感じていた。VPNクライアントを起動しなければならないので、これが面倒なだけでなく、クラウドサービスの利用時もいったん社内のネットワークを経由するので遠回りになること、そもそも全従業員が同時に使うことを想定していなかったのでキャパシティーの問題が顕在化してしまったこと、さらには攻撃者の発見や除外が困難なことなどだ。


リモートアクセスの場合、攻撃者の発見がこれまでよりも難しい(亀山氏の講演資料から引用)

 MIXIはこの課題を解決するためにリモートアクセスの方式を大きく変更した。社内ネットワークだからといって、それだけで安心とは考えない世界観をベースに、クラウド上にプロキシとなるポリシーエンフォースメントポイントを置き、そこでIdP(Identify Provider)による認証を必要とする方式だ。


現在のMIXIのリモートアクセス環境(亀山氏の講演資料から引用)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  5. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  8. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  9. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  10. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ページトップに戻る