【お話をお伺いした方】
(写真左から)
・開発ディビジョン技術部技術課マネージャー
髙橋 一郎 氏
・開発ディビジョン編成2部エンタメテック課ソフトウェアエンジニア
山口 大貴 氏
・経営推進ディビジョン推進部経営管理課経営企画チーム
岡﨑 博道 氏
バンダイナムコセブンズ様は、バンダイナムコエンターテインメント社より分社化し、バンダイナムコグループ各社が保有する知的財産(IP)をもとに遊技機専業メーカーと共同で企画・開発するBtoBの遊技機事業を中心とした企業だ。
同社では既存の事業をサポートする、顧客対応の新規サービスの計画があり、自社開発を進めていた。もともと、主力である遊技機事業は商品がネットワークにつながらない数少ない事業領域であり、開発自体もドメスティックでネットワークにつながることが少ない。そのため、自社にネットワークセキュリティ関連の知識が豊富なスタッフがいない状況があったという。バンダイナムコグループのサービスは多岐に渡り、世界中から狙われやすいコンテンツを多く抱える。グループ各社の抱える権利も複雑に絡み合っており、グループ傘下の脆弱な企業が狙われやすいという危機感があり、各社でのセキュリティ対策強化を要求されていた。
セキュリティ診断と改善策の模索をしていた髙橋氏が情報セキュリティEXPOにて情報収集をしていたところ、BBSecのサービスを知ったという。
「展示会場で相談しているうちに、単発の脆弱性診断よりも、リスクアセスメントから実施しようという流れになりました」と髙橋氏。
「そもそも、遊技機自体にネットワークにつなぐという機構がなかったので、セキュリティは大切だろうなとは思いつつ、どこに力を注ぐべきか分からなかった」とソフトウェアエンジニアの山口氏も当時を振り返る。「開発チームは組み込み系エンジニアが多く、事業展開のスピード感を要求される中、技術的にも人員的にも不足という課題がありました。そんな状況ですから、やはり段々とセキュリティ対策の負荷が重くなっていきました」。そんな中、複数のセキュリティベンダの話を聞いたが、BBSecが「親身に相談に応じてくれることと、教科書通りの対応を強要せず、実態に即して抑えるべきポイントから最適な提案をしていただけた点がとても良かった」と山口氏は語る。
山口氏をはじめとした開発担当エンジニアの一部は開発に加え、セキュリティについて学習し、資格も取得したという。しかし、いざセキュリティ関連の資格を取得してみると、教科書通りにいかない現状を思い知った。「最初は、共通ガイドラインを読み解くのにも時間がかかりましたし、読み解けるようになっても、教科書的なことばかり。あらゆる業種に応用できるように一般化されているので当たり前ですが、自分たちに当てはめてみた時に自信が持てない」と山口氏。教科書に書かれている理想はわかる、だが自社の業種に当てはまらない部分をどうしたらよいか−。
図1 情報セキュリティリスクアセスメントの位置づけ
同時にクラウドへの移行期でもあったため、オンプレのガイドラインとの差異に悩んでいた時期でもあった。「セキュリティが足かせになってはならない」。それがマネージャーの髙橋氏の想いだった。そんな時、BBSecのコンサルタントは、同社の置かれている状況から、「すぐに対策しなければいけないことは何か」、「どのような方針で課題に取り組むべきか」など柔軟なスタイルで提案していったという。また、どこまで対策すればよいのか、事業インパクトを最小限に抑えて施策を講じるためにどうするかなどについても同社の状況から実現可能なプランが提示されたことから、「漠然と考えていた対策にはっきり道筋がついた気がしました」と髙橋氏も当時を振り返る。
セキュリティ対策の重要性はわかっていてもコストとのバランスに悩むのはどこの企業でも変わらない。しかし、コストパフォーマンスを考えれば、セキュリティ対策はベンダに外注する方がよい、と髙橋氏は考えている。同社ではセキュリティを別予算として取ることはせずに、初めから開発や運用の一環として組み込んでいるという。新たな試みを途中まで進めてから修正することは想定以上に負荷がかかり、非常に苦労した経験から、設計段階や企画段階でのセキュリティ対策を重視することの重要性を理解したという。
当初からセキュリティ対策を相談していることのメリットとして、力を抜くところと力をかけるべきところの勘所が共有できるということがあげられる。リソースが潤沢ではない中で、100点満点でなくてもいい、現段階ではここまで対策すれば重大なインシデントは起こらないだろう、というラインがお互いに共有できているからこそ、次年度はここまで対策しよう、など長期の計画も立てることができるという。
セキュリティ担当部署の仕事は、セキュリティの資格を取得することや専門家になることではなく、社内のあらゆる部署と専門家を「つなぐ」ことであると髙橋氏。単純にリソースをつなぐだけではなく、意識をつなぐことも必要だ。同社では、世界中の最先端のエンターテインメントコンテンツとつながるためにも開発部署に閲覧制限は設けていない。だからこそ、セキュリティリテラシーが重要になる。社内への啓発活動、セキュリティ教育の実施によって、開発者の意識を変革しているという。
同社の原点である遊技機はパチンコホールという専用の場所に専用回線でつながれ、一定期間使用された後は廃棄となる。そのため、パッチを充てる、アップデートするという概念がなかったという。しかし、昨今ではあらゆる製品やサービスがネットワーク抜きでは語れない状況だ。遊技機の開発に長けたエンジニアでも、ネットワークにつながった後のメンテナンスという新しい考え方に慣れない人も少なくなかったという。「だからこそ、教育が必要だと思いました。当社のミッションは『面白い』をつなぎ合わせて『新たなアソビ』を作ること。ユーザが楽しく安全に遊べる環境を構築するのも当社の務め。そのためにも意識の変革が必要です」。そう語るのは経営企画チームの岡﨑氏だ。
「まず自社の脆弱なところを洗い出して、専門家に相談する。一方で矛盾するようですが、専門家に任せっきりにしないで自社内で判断できる人を育成しないとならないと考えています。専門家はあくまでもセキュリティの専門家なので、製品に対する責任はない。ですから、セキュリティを含めて製品に対する責任を持つという意味でも、自社内にセキュリティのわかる人材を育てて、開発部署と専門家をつなぐ必要があると思います」。
図2 役割に応じたセキュリティ教育の例(BBSec カスタマイズセキュリティ教育サービス)
セキュリティ対策に終わりはないという認識をもちつつ、自社にとって最適なシステム化や人材育成を模索し推進していきたいと語るバンダイナムコセブンズの担当者三名。今後は意思決定のためのセキュリティ教育に力を入れていきたいという。「つなぐ」ことで価値を高めていく同社のこれからにBBSecはセキュリティの二人三脚でご支援を続けていく。
<会社情報>
| 会社名: | 株式会社バンダイナムコセブンズ |
| URL: | https://www.bandainamcosevens.co.jp/ |
| 2019年4月創業。“「面白い」をつなぎ合わせて「楽しい」を創造する”をミッションとして、遊技機開発・販売、映像基板開発・製造・販売、その他新規事業企画運営を手掛ける。 | |
※ 記載の情報は2023年9月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。