茂岩氏:DeNAの茂岩と申します。「DeNA CERT(Computer Emergency Response Team)」はTeam)」は2011年の暮れに設立しました。もともとは「Mobage」が一番大きい事業で、その他Eコマースなどをやっておりました。ちょうど2010年の中ほどからスマートフォンが台頭してきまして、ゲームもこれに対応しようということになりました。そうすると、今までのガラケーではキャリアのゲートウェイに守られていた通信が、全世界から攻撃を受ける可能性がでてきます。
そこで、セキュリティ対策をしっかりやらなければならないということになり、脆弱性診断も含めていろいろな対策を始めました。まじめに対策を行い始めると、結構セキュリティ的に問題のある部分が発見されるのですね。それがきっかけになり、セキュリティ対策を真剣にやろうということになりました。
ディー・エヌ・エー(DeNA) システム本部 セキュリティ部 部長 DeNA CERT 茂岩祐樹氏
最初はやはり「CERT」という単語すら知らなかったのですが、そもそもセキュリティはどのように対策するのかというところがわからなかったので、自分でいろいろなところに教わりに行きました。その中にJPCERT/CCも含まれており、そこでCSIRTという存在を知って、そのCSIRTというフレームワークを薦められ、作ったことが発端です。
NCAというコミュニティーにも加盟する前提でCSIRTを立ち上げましたが、どちらかというとNCAに入るためにCSIRTを作ったようなイメージです。やはり自分たちだけでは情報も限られますし、特にサイバーセキュリティの場合は外部にオープンにしづらい情報が多いと思います。インターネットを探しても直接自分たちに役立てられる情報が少なかったので、そういうコミュニティーに参加することで自分たちにとって生々しい情報が得られるのではないかと考えました。
NCAに入りたいということが出発点だったわけです。体制としては、最初は1人からはじめて社内での実績を積みつつ、人数を増やしていき、今は20人ほどになりました。セキュリティ部という組織を作って、そこに専任のメンバーが16人ほどいるのですが、それ以外にCERTのメンバーとして情報システムの人間や、リスク管理をしているようなコーポレート企画の人たちと一緒に定常的な議論に入ってもらいながら、CSIRTを運用している状況です。
守備範囲はDeNAグループ全体なので、国内海外の子会社も含まれます。また、ゲーム開発における脆弱性診断も実施しています。私のマネジメントの範囲としては、脆弱性診断からセキュリティポリシーを作り、それを運用して回すようなところも含み、セキュリティと名のつくところは全部自分が携わっています。課題はたくさんありますが、この後の話でたくさん出てくると思うので、そういう議論をさせていただければと思っています。