モバイル向けのアプリケーションやゲームの開発・運営を手掛けるKLabは、米Tenableの脆弱性管理プラットフォーム「Tenable.io」を2021年12月に導入し、自社のセキュリティレベルや取引先とのセキュリティに関するやりとりを向上させるために、脆弱性の管理体制を強化している。同社エンジニアリング本部 情報システムグループの紀平浩志氏に取り組みを聞いた。
2000年創業のKLabは、いわゆる「ガラケー」時代からモバイル向けゲームやアプリケーション、ウェブサイトの開発・運営を手掛ける。現在は、スマートフォン向けのゲームを中心に展開し、ゲームタイトルの版権を所有する組織といった取引先も国内外に多数あるという。
KLab エンジニアリング本部 情報システムグループの紀平浩志氏
紀平氏によると、同社のITインフラは、アプリやゲームのユーザーからの膨大なアクセスなどに耐えて安定したサービスを継続できるよう非常に堅固かつ強靱(きょうじん)なものとなっており、セキュリティにおいても同様に注力してきていたが、外部ネットワークとの接続部分などリスクが顕在化しやすい箇所に注力する、いわゆる境界防御モデルに近いアプローチとなっていた。ただ、こうした環境の運用をマンパワーで行っており、「アンバランスな状態にあった」(紀平氏)と課題を抱えていた。
ITシステムやソフトウェアに潜む脆弱性は、サイバー攻撃などの侵害要因となることが広く認識されるようになり、取引先からセキュリティ対策状況を聞かれる機会が増えているとのこと。社内向けの業務システムや、顧客・ユーザーに提供するアプリケーションやサービスでは、提供基盤のハードウェアとソフトウェアのライブラリー、コンポーネント、開発環境などの脆弱性対策はもちろんのこと、プライバシーの保護などの対応についても適切な対応が問われる。
こうした要請にマンパワーで依存したままでは対応が難しくなるため、脆弱性管理ツールを導入して体制を強化する方針を決定した。ツールの選定では複数の製品を比較し、クラウド型で提供され自社の運用負荷が小さいことや、脆弱性スキャン時の全社のITリソースへの影響が少ないこと、管理/レポート画面の見やすさなどの点からTenable.ioを採用したという。
2021年12月にTenable.ioを導入し、まずは社内業務システムなどを対象にネットワーク経由で資産の検出、特定、状況の把握といった洗い出しを行い、検出された資産における脆弱性対応などの定常運用の体制を整備した。2023年2月現在は、社外に提供するゲームやウェブサイトなどプロダクトに関係する資産を対象にした展開を順次進めている状況だ。「脆弱性のスキャンがお客さまに影響しないよう見極めながら適用範囲を広げていく」(紀平氏)
Tenable.ioで設定しているスキャンスケジュール設定の一例(画像は一部加工済み)
紀平氏によれば、脆弱性管理ツールの導入によって、IT資産や資産状況を把握したり分析したりする作業の多くが効率化され、パッチの適用作業などの対応が円滑になったという。取引先に対しても自社の脆弱性管理の取り組みや対応状況を適切に報告できる体制作りが順調に進んでいる。
「アプリケーションやサービスなどのプロダクトに関係するIT資産の脆弱性は、社外のお客さまにも影響が及ぶことから、社内業務向けのIT資産に比べてよりアグレッシブな対応が求められる。こうしたツールを活用することで、潜在的なセキュリティのリスクを小さくしていくことができる」と紀平氏は述べる。
偶然にも同社がTenable.ioを導入するタイミングに、世界的な騒動となった「Apache Log4j」の脆弱性問題が発覚した。
「Apache Log4jは、さまざまな製品に組み込まれていたことで大きな問題として注目されただろう。幸いにも当社のプロダクトではJavaをあまり使用しておらず影響は小さかった。ただ、影響は無いと思っていた社内ネットワーク上のサーバーで、サーバー管理製品のコンポーネントとしてApache Log4jが使われていることがスキャンで判明するなど思わぬところで影響が分かり、脆弱性管理を強化したタイミングで適切に対処を進めることができた」(紀平氏)