ゲーム『Candy Crush』の開発会社を悩ませたモバイルアクセス管理：Computer Weekly

ゲームメーカーKingは、急成長によりモバイルアクセス管理にさまざま問題を抱えていた。認証システムを「Google Authenticator」に切り替えても解決できなかった同社が最後にたどり着いた解決策とは？

[Warwick Ashford，Computer Weekly]

　『Candy Crush』を開発したKing Digital Entertainment（以下、King）は、クラウドベースのモバイルアクセス管理サービスを使って、従業員が社内で使用する私物端末のセキュリティを確保している。

Computer Weekly日本語版　3月2日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　3月2日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　3月2日号：ストレージ階層化活用の勘所

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　King創立当初の従業員数は200人程度だった。同社が成長し、従業員数が約10倍になったころに問題は起こったと、情報セキュリティ部長ジャコモ・コリーニ氏は話す。

　「使用していたオープンソースのリモートアクセスソフトウェアはセキュリティ上安全だと考えていた。だが、企業が成長するにつれ、ソフトウェアの管理やスケールアップが難しくなった」と同氏はComputer Weeklyのインタビューに答えた。

　同社は私物ハードウェアの使用を従業員に奨励していたため、多種多様な端末に対応しなければならなかった。この差し迫った問題を解決するため、同社は認証システムを「Google Authenticator」に切り替え、社内のネットワークやサービスへのアクセスを許可する前に従業員IDを確認できるようにした。

　Kingのシステムは、米国SOX法に従って2要素認証（2FA）を使用していた。しかし、Google Authenticatorでも管理は難しく、特にユーザーのプロビジョニングの面で機能に制限があった。

　コリーニ氏は、仮想プライベートネットワーク（VPN）のセキュリティに関する同社の要件とSOX法の要件を満たす、モバイル認証とアクセス管理システムの調査に再び着手した。

　「多くの選択肢に目を通した結果、クラウドベースのセキュリティプロバイダー、Duo Securityに、幾つかの著名企業での高い実績があることが分かった。そこで、同社に概念実証のトライアルを実施するよう依頼した」とコリーニ氏は話す。

容易な統合

　Duo Securityの顧客にはBox、Facebook、NASA（航空宇宙局）、TripAdvisor、Twitter、Yelp、Zillowなどがある。

　コリーニ氏は、Duo Securityがオープンプラットフォームに構築した広範な認証方式に興味を引かれたという。

　「Duoは、ハードトークンとソフトトークンを使った認証や、電話呼び出しとテキストメッセージを使った認証を可能にする。また、リッチなAPIを備えたオープンプラットフォームによって、当社にとって大きな負担になっていた統合も容易になる」

　Kingの情報セキュリティチームは、社内からのアクセスを行う2週間の試験運用を実施した後、Duo Securityのサービスを実装する決断を下した。このサービスにより、クラウドサービス、オンプレミスのリソース、個人用のカスタムアプリ、VPNのユーザー認証を1つのシステムに統合することができた。

　「クラウドベースなので、実装は非常に簡単だ。必要なのは、このサービスと通信するわずかなソフトウェアを社内の仮想環境に導入するだけだ。ほとんど統合する必要がなく、すぐに運用を開始できる。管理やネットワークトポロジーの面で不安になるような、複雑なオンプレミスインフラでは全くない」とコリーニ氏は語る。

　「Active Directory」との統合はわずか数時間で済み、資料の作成や従業員トレーニングを含めても、試験期間は1カ月に満たなかったという。

　Duo Securityによると、顧客の中には電話サポートだけで30分で立ち上げを済ませた例もあるという。

セキュリティと自動化

　クラウドベースのセキュリティサービス導入をためらっている企業もあるが、コリーニ氏によれば、KingはDuo Securityのセキュリティ資格情報と運用モデルによって保証されているという。

　「この仕組みが機能すれば、社内のセキュリティは確保されることになる。Duo Securityの運用とインフラをテストしたが、このセキュリティモデルと可用性には満足している」

　「登録は自動で行われ、手間も掛からない。従業員が認証を有効にするソフトトークンを使うには、企業のVPNポータルからユーザー名とパスワードを入力してボタンを1つクリックするだけなので、簡単に使えるシステムだ」

　「4G通信を利用できなければ、電話による認証も可能だ。端末にDuo Securityのアプリをインストールできず、ハードトークンか電話を使用して認証しなくてはならない頑固なBlackBerryにこの方式を利用している」

　従業員が認証を受ける際、認証ポータルは、従業員が認証に使用したデスクトップやモバイル端末からユーザー情報を追跡する。つまり、コリーニ氏と彼のセキュリティチームは、従業員がアクセスしている場所とアクセス先のリソースを追跡できるということだ。

　さらにDuo Securityは、端末のOS、ブラウザなどのソフトウェアが最新版、つまり最もセキュリティが確保されたバージョンかどうかを特定できるようにもしている。バージョンが古いソフトウェアを使っている従業員は、ボタンをクリックするだけで適切なバージョンにアップデートできるようになっている。

セキュリティポリシー向けデータ収集

　Kingは、ソフトウェアのデータとサービスが追跡する他の情報とを組み合わせて情報セキュリティポリシーを構築し、従業員のロールや端末のセキュリティ状態といった要素の組み合わせに基づいて、アクセスの許可やブロックを可能にしている。

　「Duo Securityのおかげで、従業員が普段とは違う場所からアクセスしているかどうかを把握できる。さらにその情報から、異常事態を検出できるようになる」とコリーニ氏は話す。従業員は、攻撃者かもしれないユーザーからの不正アクセスをブロックするために、自身が行った認証要求を報告することができる。

　コリーニ氏によれば、全ての実装が稼働を開始してから1年を超えた現在まで、セキュリティの被害は一度も起きていないという。Kingでは技術サポートが数回必要になったが、その対応も良好だ。

　「チームのメンバーと共同作業している感覚だ。当社にとって特に重要だったのは、従業員の感想が非常に好意的だったことだ。従業員は、必要なときに、適切なセキュリティポリシーに準じて、サードパーティーのパートナーに素早くアクセスできるようになったと感じている」とコリーニ氏は話す。

　「Kingは、従業員が業務に使うツールを好きになり、クリエイティブな職場にするために可能なことは全て行っている。セキュリティを管理すれば、それが業務の障害と捉えられるリスクは常に存在するため、従業員には場所を選ばずアクセスすることを認めている」

容易なセキュリティ強化

　クラウドベースのサービスということは、Kingのような企業が、従業員の私物端末の利用を妨げたり、従業員の業務を遅らせたりすることなくセキュリティ管理を導入できることを意味する。

　この点では、Duo Securityが特許を取得したプッシュ技術が非常に重要な要素だとDuo Securityのヨーロッパ部門を率いるヘンリー・セダン氏は指摘する。同氏は、Computer Weeklyのインタビューに答えて次のように話した。

　「当社は、最大級の使いやすさを保つことが最重要だと考えている。使いやすければ、誰も組織のセキュリティを回避しようとは思わず、安全に保てるようになる」

　Duo Securityは迅速な導入と容易な統合の実現にも力を注いでいる。これについてセドン氏は次のように話す。「迅速な導入と容易な統合は、侵害を受けた直後にセキュリティ管理の強化を考える企業にとっては特に重要になる」

別冊Computer Weekly　Microsoft Officeの落日（転載フリー版）も公開中！

圧倒的なシェアを誇るMicrosoft Officeに今、新たな障害が立ちふさがろうとしている。これまで同様、障害をはねのけるのか、ついに屈するのか。Office 2016とOffice 365 をめぐる諸問題を取り上げた記事を1つのPDFにまとめた。

• 別冊Computer Weekly　Microsoft Officeの落日（転載フリー版）

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。