株式会社S&P

2010年4月に設立、スマートフォン向けアプリの企画、開発、運営を手がけるITエンジニアリング企業。 キャラクター・版権物のゲーム開発を得意とし、オンラインゲームポータルサイトやソーシャルゲーム、ネイティブアプリの開発・リリースを手がけ、デベロッパー兼パブリッシャーとして事業を展開。JOGA(一般社団法人日本オンラインゲーム協会)会員。従業員数50名。本社は東京都新宿区。

コーポレートサイト

【ゲームチート対策事例】高度な技術力を持った攻撃者に備えるためには 防御側にもそれ以上の技術力と経験が求められる

株式会社S&P
コンテンツ事業部 インフラ・セキュリティ課 課長
武川智法 様

武川智法 様

人と人をつなぐコミュニケーションツールとなるような、共感され、五感に訴えるゲーム。
そんなゲームを通じた文化の創造を目指して、2010年に設立されたのが株式会社S&P。

「ネイティブアプリの改変による不正アクセスを仕掛けて来るのは高度な技術力を持った攻撃者が想定されることから、防御側にも専門的な知識と経験が求められる」という観点から、信頼できるパートナーを探していたと言います。その中でなぜイエラエセキュリティを選んだのか経緯を同社の武川氏からうかがいました。

ネイティブアプリ開発がセキュリティに対する意識を変えるきっかけに

2014年5月にリリースとなった同社の『AKB48グループ ついに公式音ゲーでました。』は公式リズムアクションゲームとして250万DLを突破。
数々のヒットソングのリズムに合わせてタップするアクションゲームとして、好きなメンバーをセンターにした自分だけのユニットが作れることや、「レッスン」でメンバーを成長させていくことで多数収録されているメンバーのフォトやオリジナルボイスを手に入れるという要素も盛り込まれています。

武川氏

それまでは大手プラットフォームから提供されるソーシャルゲームを中心に手がけていました。『AKB48グループ ついに公式音ゲーでました。』で初めてネイティブアプリを展開することになり、技術やセキュリティも大きく変わるだろうということは意識していました。なにより、端末側にインストールされるネイティブアプリでは、プログラムの改変による不正なアクセスの可能性が、Webアプリよりも高いことが懸念されます。

このプロジェクトが立ち上がり、開発の話が来たときには、インフラやセキュリティの面からも、なんらかの対策を施さなければと考えていました。

高い技術力による深い部分にまで踏み込んだ脆弱性診断と迅速なレスポンスが貢献

「ネイティブアプリの改変による不正アクセスを仕掛けて来るのは高度な技術力を持った攻撃者が想定されることから、防御側にも専門的な知識と経験が求められる」という観点から、信頼できるパートナーを探していたと言います。

武川氏

そもそもネイティブアプリの脆弱性診断には対応していないというセキュリティベンダーがほとんどでした。

そこでエンジニアを対象にしたコンテストの参加者なら対策のできる人がいるんじゃないかと考えたんです。そして、とある大会で予選決勝ともに上位を占めていたのが、牧田代表を含む株式会社イエラエセキュリティのメンバーでした。

企業のホームページを拝見すると、簡素ななかにも要点なポイントをしっかり押さえていて、直接お会いして技術的な要件やセキュリティに関わる倫理規定などについても話をうかがい信頼できると感じ、お任せしようと思いました。
脆弱性診断のテストを2段階で行うことになっていましたが、1回目の報告に先立って、打合せ後1週間もしないうちに速報による重篤な問題に関するレポートをいただけたことも助かりましたね。根幹的な仕様に関わる指摘でしたが、素早い対応により修正にも時間をかけることができました。

エンジニア以外にもわかりやすい報告ができることも強み

そうした現場へのフィードバックも経て、ネイティブアプリとして同社の2作目となる『いっしょにプルプル』の開発においてもイエラエセキュリティがサポートを行うことになりました。今作は日本全国のご当地人気キャラクターが登場するパズルゲームで、通信による協力プレイができることも大きなポイントです。
パズルそのものの楽しみに加え、他のプレイヤーとコミュニケーションを取りながら同じ目標に向かって一緒に遊べることも、対戦型のゲームにはない大きな特長になっています。

武川氏

前作での指摘を現場で共有できていたたこともあり『いっしょにプルプル』ではゲームチートに関する指摘があった程度で、大きく修正が必要な問題は起こりませんでした。
また、イエラエセキュリティの対応のなかでは、専門的な報告書だけでなくエンジニア以外に向けた「エグゼクティブサマリー」として、一般向けにまとめられた報告書を最初の段階で用意していただけたことも、とても役立ちました。

組織としてエンジニア以外のマネジメント担当者の理解を得ることはもちろん、当社では版権物を扱っているため、許諾元などのステークホルダーに対してもセキュリティの説明義務があり、当社が十分な取り組みをしていることを納得していただく際にも、たいへん有効でした。専門用語だけでなく技術者以外にもわかりやすいコメントで説明もしていただけたことは大きかったですね。

セキュリティに対する意識を広めて行く活動にも期待

セキュリティ対策はどこまでやっても終わりということがないため、100%完璧なセキュリティを求めることは現実的ではありません。そのなかで、ゲームパブリッシャーとしては、どこまで対応していくべきなのか。さらに今後、セキュリティ対策に求めることなどもおうかがいしました。

武川氏

セキュリティに関わっている者には常識ですが、100%の防御は不可能です。実際には攻撃する側に“面倒くさいから諦めよう”と考えさせるためにはどこまで壁を厚くするか、よほどの技術力がなければ労力と結果のコストパフォーマンスが取れないという段階で安全と考えます。そのため、イエラエセキュリティの基準に則って、5段階ほどに分けられた真ん中より一段高いところが、ゲーム開発では安全であるという考えで対応をしています。

また、社内でもこれまでの脆弱性診断の結果なども含め、基本的なセキュリティ対策に関する教育研修も行ってきていますが、社外のノウハウも取り入れて行けるよう、イエラエセキュリティさんにも、開発エンジニアに向けたセキュアなコーディング技術などの講座を開いてほしいですね。

現在、国内では社外に向けてセキュリティに関して話しをすることや、ノウハウを共有するという環境はほとんどないので、そうした開かれた場を持つための、きっかけづくりも担って行くことのできる会社であると期待しています。