一般的には裏方と思われがちな、インフラ、セキュリティ、品質管理といったセクション。
ですが、DeNAでは高い技術力を武器に1人1人が主役として「踏み込んだ改善や大規模なプロジェクト主導」を行い、モノづくりの根幹を担っています。
これらのセクションの実態を紐解き「DeNAのモノづくり」のおもしろさをお伝えするのが『DeNAモノづくり対談』シリーズ。
今回は現場でプロジェクトを推進する2人が登場です。
なぜDeNAの脆弱性診断は、国内トップレベルなのか? その裏にはどんな施策や働き方があるのか? そして、自社開発したセキュリティツールをオープンソース化する狙いは何なのか?
セキュリティ技術グループマネージャー、汐田 徹也(しおた てつや)と、脆弱性診断用ツールを主導して開発したエンジニア舟久保 貴彦(ふなくぼ たかひこ)が、ざっくばらんにクロストークを繰り広げます!
株式会社ディー・エヌ・エーシステム本部セキュリティ部セキュリティ技術グループ グループマネージャー
汐田 徹也(しおた てつや)
2014年にDeNA新卒入社。以降、一貫してセキュリティ技術グループで、DeNAが関わる各サービスの脆弱性診断、設計レビュー等に従事。特にゲームのチート対策については、より深く対策の提案・開発に携わる。現在はグループマネージャーとして現場を統括。プログラミングコンテストにも趣味として参加。ICPC2013アジア地区予選5位、ICFPC2017世界2位、等。
株式会社ディー・エヌ・エーシステム本部セキュリティ部セキュリティ技術グループ
舟久保 貴彦(ふなくぼ たかひこ)
新卒入社したネットワーク機器ベンダー、組み込みLinuxのエンジニア、セキュリティ関連メーカーなどを経て、2013年DeNA中途入社。チート対策を中心とした、セキュリティのスペシャリストとして活躍する中で、脆弱性診断ツールを内製開発。現在、脆弱性診断ツールを社内運用すると共にオープンソース(OSS)化準備中。
目次 [隠す]
セキュリティ業務をほぼ内製化。年300件もハッキング!?
舟久保
そもそもなんですが……。今回、私と汐田さんがこの『モノづくり対談』企画に呼ばれたのってなぜなんでしょう(笑)?
今までの『モノづくり対談』は、執行役員システム本部長のnekokakさんと各部長の対談だったじゃないですか。
汐田
執行役員と部長の対談企画だと思っていたら、現場の我々に話が来たので驚きましたよね(笑)。
ですが今回は、まさに「DeNAのモノづくり現場のリアルを伝えたい」と。
舟久保
あ、そうなんですね。
汐田
前回の『モノづくり対談』で、セキュリティ部長の茂岩さんが脆弱性診断の話にも結構触れていたじゃないですか。
脆弱性診断を内製化したメリットで「年間1億円以上の外注費削減につながった」とか「対応スピードが早くなった」とか。あと「ナレッジが社内にたまる」とかだったかな。
舟久保
言ってましたねえ。
汐田
その続編で「で、DeNAの脆弱性診断、実際どうなの?」みたいな話が期待されているんじゃないでしょうか?
舟久保
なるほど。セキュリティ上、言えないところもありますが、がんばります(笑)。
汐田
まあ、ざっくばらんにいきましょう(笑)。
汐田
あ、たしかに。そこは強く押し出したいですね。
まずは、DeNAのセキュリティ業務の現状からお伝えしたほうが、読者の方にはわかりやすいかも。
舟久保
そうですね。では、その流れで。
汐田
DeNAの現状で言うと、事業会社で最も早い段階でゲームやサービスアプリのセキュリティ業務をほぼすべて内製化しているのが特徴的でしょうね。
開発部からあがってきたゲームやサービスにセキュリティホール(※1)がないか、外注せずに私たちセキュリティ部のメンバー全員がチェックし修正確認までしている。
※1……脆弱性のこと。コンピューターシステムの保安上の弱点や欠陥。
舟久保
2010年からセキュリティ業務の内製化を推し進めてきた結果ですね。
汐田
いわゆるハッキングのように、リリース前の自社サービスに攻撃をしてみたり、チート(※2)を仕掛けたり、ということを日々していますもんね。年300件も。
※2……コンピューターゲームで、本来の開発糸とは異なる動作を誘発し有利にゲームをすすめる行為
既成で無理なら自分でつくる。内製化のシンプルな理由
舟久保
そうですね、たくさんハッキングしている(笑)。ホワイトハッカー集団のようなものですよね。
汐田
そのハッキングの際には、この内製の脆弱性診断ツールが大活躍しているわけですが。さて、そもそもなぜDeNAは脆弱性診断ツールを内製したのか。
舟久保
あ、はい。
汐田
舟久保さんは、このツールの生みの親ですもんね。このツールの開発に着手したのって、いつでしたっけ?
舟久保
2013年ですね。
汐田
私が2014年入社なんで、その前ですよね。私が入社したときには、既に内製の脆弱性診断ツールがありましたから。
しかし、DeNAではもともと脆弱性診断の業務は既成のツールを使って実施していたわけですよね?
それをなぜ、舟久保さんがDeNAで内製しはじめたのか(笑)。
舟久保
簡単に言うと「既成ツールでまかなえない範囲を勢いあまって自分でつくっちゃった」っていうことなんですけど(笑)。
汐田
ふむふむ。と、言うと?
舟久保
当時、海外のスマホゲームを日本向けにローカライズ(※3)して出すという案件があり、私はその診断を担当していました。
ところがこのゲームは、既存の診断ツールではアプリからサーバーへの通信情報が取得できなかったんです。
※3……ある国を対象に開発された製品・サービスを別の国でも使えるように言語や機能等の対応を行うこと
汐田
スマホゲームはリアルタイム性を持たせるために、サーバー・アプリ間の通信が多い。そのせいで外部からデータを書き換えられるリスクは上がりますもんね。
そこを狙い「スタート時からステータスマックスのフル装備」「自分の手札や装備が相手に見える状態になっている」といったようなチートをされたりする、と。
舟久保
そうなんですよね。そうしたチートのリスクをコントロールするためにリリース前に社内で診断するのが我々の仕事。
ただ、結論から言うと既存の脆弱性診断ツールでは、アプリとサーバー間のデータはHTTP/HTTPSの通信しかとれなかったんです。
しかし、このゲームはTCP上の独自プロトコルでデータをやりとりするようになっていたんですね。つまり、既存ツールだと該当データの診断ができない。
汐田
なるほど。
舟久保
もちろん「これは診断できません」と開発サイドに戻すこともできたのですが、エンジニアとしては許せなくて。
汐田
舟久保さんらしいですね。
舟久保
「既存のツールで診断できなくても、深掘ればチートできる。つまり、診断もできる」と。その場で、自分で20~30行くらいのコードを書いてみたら、やはり通信が見えるようになったんですよ。
汐田
舟久保さんはさらっと言ってますが、すごいことですよね(笑)。
舟久保
そんな経緯で、自分が開発した脆弱性診断ツールをセキュリティチーム内で共有して、みんなで使うようになったんです。
最初はこのゲーム専用の小さなツールだったのですが、途中から別のゲームやサービスの診断でも共通で使えるように機能を加えていきました。
チームのみなさんがいろんなゲームやサービスに合わせ肉付けしてくれ、カスタマイズさせて汎用性高くなっていったんですよね。
汐田
その機能追加は今も続いているし、今やセキュリティチームには欠かせないツールになりました。
舟久保
とても嬉しいことだし、仕事の醍醐味の1つですね。
自前でツールをつくったことで、脆弱性診断のレベルを上げられた。同時にそれは診断者にとっても業務効率化につながっています。
さらにそれが、DeNAのアプリやサービスの質向上にも直結するわけですから。
領域を定めない働き方が強みの源泉
汐田
脆弱性診断ツールを社内で磨き上げてきた背景にもつながると思うのですが、DeNAのセキュリティ部にいると、チーム内のセキュリティ技術のレベルの高さを日々感じることってありません?
舟久保
あります、あります。
汐田
端的にいうと、その理由って舟久保さんは何だと思いますか?
舟久保
やはり、ゲームの領域でセキュリティを内製化していることが、技術レベルを引き上げている大きな要因でしょうね。
ECなど一般的なウェブサービスの脆弱性診断では、チェックすべき点はだいたいいくつかパターンが決まっている。
「サーバのデータを不正に取得できてしまわないか」「別のコードを挿入できてしまわないか」など、このあたりですよね。
汐田
そうですよね。
舟久保
しかし、ゲームの診断となると、いくつもパターンが考えられて複雑になる。
先ほど、汐田さんがあげたように「いきなり装備をフルにさせる」「自分の手札や装備を相手に見えるようにする」とか。
汐田
そうしたこともゲームの設計、ルール、世界観によっては一概にチートだ、とも決めつけられないんですもんね。
舟久保
そうなんですよね。元々そのゲームが想定している挙動かもしれないし、はたまた開発者が意図して用意した裏技的なものかもしれないし。
ゲームはそれぞれで、ルールが千差万別で難解なんです。
汐田
だからこそ、自然とゲームの構造をふくめた技術的な知見、チートする側の視点みたいなものまで目配せして、技術力を高める必要がありますよね。
自ずとスキルが磨かれていくわけですから。
舟久保
しかもDeNAは自社のプロダクトはもちろんですが、協力してゲームをリリースするという立場やプラットフォーマーとして他社のゲームに関しても診断する機会があるので、自ずと技術的な知見が幅広く必要ですよね。
汐田
そういう意味では、オートモーティブやヘルスケア、ソーシャルメディアなどあらゆる領域でセキュリティを手がけられるのもセキュリティエンジニアとしては得られるものが大きいと思うんです。
セキュリティチームははあまり細かに「ゲーム担当」「IoT担当」「ヘルスケア担当」などと領域を分けず、業務にあたりますし。
舟久保
ええ。 同じような幅広いサービス、アプリを手がけてセキュリティの知見を得られる会社って他になかなかないですよね。
そもそも私は、前職でセキュリティ関連ではそれなりに有名な会社でソフト開発などをしてきましたが、やはり幅広い領域でセキュリティを手がけられるDeNAが魅力的で、転職した側面があるんですよ。
汐田
舟久保さんが診断ツールを開発したように、自由度高く、今の業務から踏み込んで「つくれてしまう文化」もDeNAで働く魅力じゃないですか?
私自身も、以前「チート対策のライブラリ」に直接手を加えていったことがありますし。
舟久保
あ、そうですよね。
汐田
「スマホ上でチートにつながるハックをされた痕跡を見つけて検知する」といったコードを入れて、社内で共有して。
全社的にセキュリティ意識が高いからこそのやりがい
舟久保
ありましたね。
それと、DeNAで働く特色といえば、社内全体で1人1人のセキュリティ意識が高いことも挙げられると思うんです。
そのおかげで、我々から出すアラートは基本的にすべて改善対応をしてもらえますよね。
汐田
それは仕事がやりやすいポイントかもしれませんね。セキュリティを強く求められる業務を幅広く手がけている会社だからこそ。
ヘルスケア領域で「情報が漏れました」オートモーティブで「データが改変されました」ということは許されない。
その結果、我々はもちろん、事業部の開発メンバーもセキュリティ意識は高くならざるをえないということですね。
舟久保
だから、他社ならば「まあこれくらいなら大丈夫かな」というレベルでも我々はアラートを出す。
そして、開発チームもそれに答えてしっかりと直す。「このままでもOKレベルだけど、直したほうがより良いよ」というレベルまでしっかりと開発チームが直す会社は、意外とそこまで多くないんじゃないでしょうか。
開発前に私たちセキュリティチームとディスカッションしながらサービスをつくる場面も増えましたし。
汐田
我々としてもやりがいありますよね。
会社によってはセキュリティのリスクをレポートしても「レポートのまま終わり、改善されない」ケースもあるようですから。
こちらから強制力を働かせない形のアラートでも、開発者が工数を割いて対応する文化がすでにあること貴重だと思います。
セキュリティの仕事って、本来とても難しく責任重大ですが、おもしろくやりがいがあります。DeNAだけではなくて、全体的なセキュリティ業務のプレゼンスはもっと上がっていくといいですよね。
舟久保
本当に、そう思います。
内製化した脆弱性診断ツールをオープンソース化するのも、私がTechconに登壇してお話するのも「セキュリティ業界全体の手助けになれれば」という思いですから。
汐田
いいですね。
その脆弱性診断ツールのオープンソース化に込めた思い、詳しめにお願いします(笑)。
舟久保
まず大前提として「需要がある」んですよね。
多くのセキュリティに関わる企業、エンジニアの方々にとって極めて利便性の高いツールなので、ぜひ使ってほしい。
同時に、社内で皆が使ってブラッシュアップしたときもそうでしたが、一緒にツールをさらにブラッシュアップさせていきたいという狙いももちろんあります。それから……。
汐田
それから?
舟久保
それから「DeNAのセキュリティレベルは高い」ということを知ってほしい(笑)。
DeNAのセキュリティブランドが当たり前のように広がればいいなと!
汐田
うんうん。
そして、「そんなDeNAでセキュリティの仕事がしたい!」というエンジニアの方にぜひ参画してほしいですよね。
舟久保
「技術が好きでたまらない」というタイプのセキュリティエンジニア、インフラエンジニアに来てほしいですねー!
そういう方の技術を私自身が得て、もっとレベルアップしたいし、逆に自分の知見をフィードバックして互いを高めあえれば最高ですね。
2月6日のTechConで「スマホゲームのチート手法とその対策」という登壇内容で話します。ツールの内容を含めて、いろいろとお話するので、気になった方はぜひ来て、声をかけてください!
DeNA の最新情報は、公式Twitterアカウント(@DeNAxTech)にて確認いただけます。ぜひフォローをお願いします!
※本記事掲載の情報は、公開日時点のものです。
執筆: 箱田 高樹 編集:榮田 佳織 撮影:小堀 将生
