導入から3年、不正アクセス0件――MIXIが「ゼロトラスト」セキュリティに至るまでの課題と解決方法：ITmedia Security Week 2023 春

2023年3月に開催された「ITmedia Security Week 2023 春」の「クラウド＆ゼロトラスト」ゾーンにおいてMIXI 開発本部 セキュリティ室 室長 亀山直生氏が「MIXIにおけるゼロトラストの取り組み」と題して講演した。

[宮田健，＠IT]

　スポーツ、ライフスタイル、デジタルエンターテインメントと幅広いエリアでサービスを提供するMIXIが、いかにしてゼロトラストにたどり着いたのか――。亀山氏は運用上の課題やその解決方法を含めて解説した。

リモートとオフィスを融合する「マーブルワークスタイル」実現のために

MIXI 開発本部 セキュリティ室 室長 亀山直生氏

　MIXIは、公営競技やスポーツ観戦事業などを含むスポーツ、「家族アルバム みてね」「minimo」、SNS「mixi」などを含むライフスタイル、「モンスター ストライク」「共闘ことばRPG コトダマン」などゲームやアニメーションを含むデジタルエンターテインメントの3つの領域で事業を推進している。2022年3月には、部署ごとに出社回数を選択でき、テレワークもできる「マーブルワークスタイル」を正式に制度化、働き方をより柔軟にする施策を発表している。

　それをシステム面で支えるのは、やはりセキュリティの力だ。亀山氏が在席するセキュリティ室では、MIXIの幅広い業務の基本となる全体戦略を策定している。セキュリティ室ではアタックサーフェスについて、「自社が運営するサービス」「社内システム」そして「人間」の大きく3つに分けて対策を進める。自社サービスは事業部門が、社内システムは社内システム部門が、人間に対しては各人、各部が対策を講じ、MIXIとしての共通戦略として教育啓発やチェック、万が一の事故に対応する。

MIXIが考えるアタックサーフェスとその対策（亀山氏の講演資料から引用）

　これらの戦略につながる「戦術」として、セキュリティ室が支援するのは脆弱（ぜいじゃく）性診断やIaaS監視、EDR（Endpoint Detection and Response）などがある。重要な戦術の一つは今回のテーマでもある「ゼロトラスト支援」だ。

　亀山氏によると、MIXIがゼロトラストに取り組む背景には2つのポイントがあったという。1つは2020年からのコロナ禍対策としてリモートアクセスの需要が高まったこと、もう1つはセキュリティの情勢変化にある。後者について亀山氏は「境界防御だけでは不十分という風潮が高まり、コロナ以前から社内システムのセキュリティの一部に課題感を持っていた。社内だからといって認証やアクセス制限が甘くなっている部分もあり、攻撃の横展開が心配だったので、検証はかなり前から進めていた」と話す。

　リモートアクセスに関しても、MIXIでは課題を感じていた。VPNクライアントを起動しなければならないので、これが面倒なだけでなく、クラウドサービスの利用時もいったん社内のネットワークを経由するので遠回りになること、そもそも全従業員が同時に使うことを想定していなかったのでキャパシティーの問題が顕在化してしまったこと、さらには攻撃者の発見や除外が困難なことなどだ。

リモートアクセスの場合、攻撃者の発見がこれまでよりも難しい（亀山氏の講演資料から引用）

　MIXIはこの課題を解決するためにリモートアクセスの方式を大きく変更した。社内ネットワークだからといって、それだけで安心とは考えない世界観をベースに、クラウド上にプロキシとなるポリシーエンフォースメントポイントを置き、そこでIdP（Identify Provider）による認証を必要とする方式だ。

現在のMIXIのリモートアクセス環境（亀山氏の講演資料から引用）