株式会社Aiming
最⾼技術責任者
⼩林 俊仁 様(左)
インフラエンジニア マネージャー
野下 洋 様(右)
取材⽇︓2015年4⽉7⽇
≪⼩林俊仁様 略歴≫
1977年⽣。京都⼤学⼤学院情報学研究科在学中からコミュニティーエンジン株式会社でオンラインゲームの開発に関わる。2003年に同社取締役に就任後、北京に移住して⼦会社を設⽴し、CEOに就任。 中国版プレイオンラインの設計・開発、モバゲータウンの中国ローカライズ(加加城)等に関わる。2007年2⽉に⽇本に帰国し、オンラインゲームの技術ディレクター・プロジェクトマネージャを務める。2010年5⽉から ONE-UP 株式会社 東京開発グループ グループマネージャ・テクニカルディレクター。2011年6⽉に Aiming に移籍し、2013年5⽉から現職。 CEDEC 等公演多数。 寄稿⽂に、ゲームクリエイターが知るべき 97 のこと、サムライエピソードなど。
≪野下洋様 略歴≫
20代前半は、インフラエンジニアとして業務系システムのサーバー構築を経験。その後ゲーム業界に転職し、⽇本タイトルを海外向けにローカライズするプロジェクトを担当。現在は、Aimingでインフラ全般を担当。
オンラインゲームのセキュリティ対策の必要性を感じた
きっかけをお教えください
野下様︓上場を控えていたことが、きっかけの1つでした。企業として、このような重要なタイミングで、信頼に関わる問題を発⽣させてはいけないと考え、『剣と魔法のログレスいにしえの⼥神 』(以下、剣と魔法のログレス)にてネットエージェント株式会社(以下、ネットエージェント)のゲームセキュリティ診断サービスの導⼊を決めました。
⼩林様︓元々株式会社Aiming(以下、Aiming)では、プログラマーやインフラ構築者が、その⼈の経験に基づき、ソースコードチェック等のセキュリティ対策を実施しています。しかし、上場のタイミングでは、よりセキュリティ対策の網羅性を確保するためにも外部の知⾒の必要性を感じたのはきっかけの1つです。加えて、上場後には横断的なセキュリティ強化をしたいと考えており、知り得た外部の知⾒をスタッフのスキル向上にも活⽤したいとも考えていました。
「ゲームセキュリティ診断サービス」を
お選びいただいた理由についてお聞かせください
野下様︓⼀般的なWebのセキュリティ診断は、⾮常に多くの企業から提供されていますが、その中でも「ゲームに特化」しており、ソースを全部読んでくれる『ホワイトボックステスト』を提供している企業は殆どなかったので、ネットエージェントに診断を依頼する決め⼿となりました。他にも『 診断したゲームタイトルの豊富さ 』と『 事例の多さ 』にも注⽬していました。
⼩林様︓他社のディレクターの⽅々との情報交換を通じて、ネットエージェントのサービスの特徴や強み等は事前に聞いていました。ホワイトボックステストである点や、ゲームに特化した診断である点以外にも、HTTPだけでなく独⾃プロトコルも診断してくれるところは決め⼿の1つになりました。
当サービスをご利⽤になられて"効果"はいかがでしたか
⼩林様︓どういった結果を出してくれるか半信半疑なところはありましたが、実際にクリ ティカルな問題も発⾒してもらい、効果はあったと実感しています。また、ゲームに慣れ ているからこそ「チートされるとサービスの価値を毀損する」ことの重要性を理解して診断してくれていることをすごく感じました。
野下様︓Aimingのスタッフからも「第三者にチェックしてもらうことで、セキュリティ意識の向上に繋がった。加えてAimingが作成したコードの質は悪くはなかった、という結果が得られ、⾃信にも繋がった。」という声が挙がっています。
他にも、社内のナレッジとして「こういうチート⾏為が⾏われたから、こういう⾵に修正したら、チート⾏為がされなくなった。」というナレッジは多く共有されているのですが、「実際に攻撃者がチート⾏為をどのような⽅法で⾏っていたのか」というナレッジが共有されていなかったんです。
ですが、ネットエージェントの診断サービスでは、「具体的にこのような⽅法で攻撃すると、こういったチート⾏為が可能になる」という細かいところまで教えてもらえたので、凄く為になりました。このような情報も含めて、今回の診断で発⾒された問題点にどのように対応したかを剣と魔法のログレス開発チームで纏め、全社に共有し、スタッフのスキル向上に活⽤する予定です。
弊社への今後のご期待・ご要望等がございましたら、お聞かせください
野下様︓⽇々更新されていくオンラインゲームを、⼤型アップデートの度に全チェック、とかではなく、細く⻑く診断してもらえるような仕組みが出来れば嬉しいです。
他にもAimingのスタッフから「ゲームの仕様やバランスについての診断」もあれば嬉しいと要望が出ていました。
⼩林様︓現状の診断サービス以外にも、社内にセキュリティ対策のノウハウを貯めていく術として、「攻撃者の視点を養う」といった教育や、Aimingのスタッフが⼀時的にネットエージェントと⼀緒に診断を⾏い、セキュアコーディングのスキルを養うようなサービスがあれば⾯⽩いですね。