株式会社サイバード様 Secure Coding Checker事例

導入の背景：
セキュリティ監査グループを結成

サイバードでは、開発力の強化に向けて2016年4月に組織改革を実施し、新たにクリエイティブ統括本部を設立。その下には品質管理部を設け、業界全体にとって大きな課題となっているアプリのセキュリティ強化も進めることになった。

クリエイティブ統括本部 PM 統括部 品質管理部 副部長の鏡谷 陽一氏は、その狙いを次のように説明する。「開発メンバーは今まで事業部単位で固定されていたため、柔軟に配置できませんでした。また、チーム間の連携や情報共有が十分ではなく、効率的な開発を阻害していました。そこでクリエイティブ統括本部が社内の人材リソースを一元管理し、各チームのニーズに応じてメンバーをアサインできる体制としました。また、事業部やチームごとに取り組んでいたセキュリティ対策についても、品質管理部が全社的な視点で講じていくことになったのです」

中でもAndroidアプリについては、Google Playのレギュレーションの厳しさが増していることもあり、その対策として、品質管理部の鏡谷氏を中心にゲーム開発やインフラ管理のリーダーを集め、タスクフォース的なチームを結成。脆弱性の課題を網羅的に洗い出すとともに、開発ガイドラインの制定や検査の効率化などを進めていくことになった。

導入の経緯：
JSSECガイドラインを実際の開発に適用するために

開発エンジニアのリーダーとして、この脆弱性対策チームに参加したのが、ゲーム事業本部 プロデューサーの竹本 裕志氏だ。累計会員数1500万人を誇る同社最大のヒット作「イケメンシリーズ」のプロデューサーとして、15タイトルほどの開発責任を負っている竹本氏は、全社的なリスク管理の必要性を次のように語る。「ゲームの開発者は、どうしてもゲームの魅力を追求しがちで、セキュリティへの対応が後回しになりかねません。この問題の解決が、我々のチームにとって大きなテーマとなりました」

活動を開始した脆弱性対策チームは、まずはセキュリティガイドラインの策定に取り組んだ。しかしながら、メンバーそれぞれが本来業務を持っていることもあり、ゼロから策定していくのは容易ではない。検討を重ねる中で誰からともなく言い出したのが、日本スマートフォンセキュリティ協会（JSSEC）の『Androidアプリのセキュア設計・セキュアコーディングガイド』の活用だ。せっかく業界標準のガイドラインが存在するのだから、いわゆる「車輪の再発明」の必要はないという判断だ。

次に議論となったのが、ガイドラインを実際に適用していく手段だ。社外の脆弱性診断サービスの導入も検討したが、検査結果が出るのに1、2週間かかり、ゲーム開発のスピード感に追従できない。費用も、アプリ本数に応じてコストが発生するため、並行して100種類ほどのアプリを開発している同社にとっては負担が大きすぎる。そこでツールに絞って検討した結果、ラックの脆弱性検査ツールSecure Coding Checkerに注目することになった。ガイドラインに準拠した修正方法が示されるため、誰でも容易にガイドラインに沿ったコードが書けるからだ。

「メンバー全員が、処理スピード、使いやすさ、コストなどの点でSecure Coding Checkerを高く評価しました。また、開発者が手軽に利用できるだけでなく、ガイドラインを社内に浸透させる手段としても有効と思われました」（鏡谷氏）。

「実際に操作してみましたが、あまりにも使い方がシンプルで驚きました。導入後に社内に展開する際も、各チームのエンジニアにログインのアカウントを伝えただけで、他の説明は不要でした」（竹本氏）。

導入効果：
開発生産性やアプリの品質が高まり、コンプライアンスも強化

同社におけるSecure Coding Checkerの利用方法は大きく2つある。1つは社内の開発チームのエンジニアによる開発時のチェックで、もう1つが、品質管理部によるパートナー（外部開発会社）から納品されたアプリの検査だ。

ゲームエンジニアとしてイケメンシリーズの各タイトルの開発に横断的に携わり、現場でSecure Coding Checkerを利用している小嶋 要氏は、使い勝手の良さを次のように語る。「apkファイルを読み込ませれば、1分ほどで検査結果が出ます。アプリ開発の生産性が高まり、セキュリティ品質が向上するのはもちろん、今まで我々が気づかなかった脆弱性、例えば社内共通で利用するライブラリの中身なども確実にチェックできるようになりました。コードの修正方法も分かりやすく示されるので、新人の脆弱性対策の学習ツールとしても使えます」

活用しているのはエンジニアだけではない。「開発責任を負うすべてのアプリで、いつどのタイミングで脆弱性検査を行い、結果がどうだったのか、その推移をグラフで確認しています。プロデューサーとして全体のリスク管理状況を把握できるため重宝しています」（竹本氏）。

一方、品質管理部では、パートナーから納品されたアプリを目視で半日ほどかけて検査していたが、Secure Coding Checker導入により10分程度で検収作業が完了するようになったという。加えて、HTTPS接続による暗号化など、今までは対応が当然という前提で省いていた検査項目まで手軽にチェックでき、安全性も高まっている。

レポート化・グラフ化されていることで見やすく問題のある所だけを指摘できるのでパートナーにとっても負担になっておらず、今まであまり注視されていなかった安全性への認識も変わってきた。

「我々品質管理部は、パートナーから納品されたアプリを確認し、社内に対して品質を保証するという役割を担っています。Secure Coding Checkerを利用することで、その作業が効率化しただけでなく、チェックした結果のレポートも作成でき、確実に証跡を残せるようになりました。その点でも、品質面のコンプライアンス強化につながっています」（鏡谷氏）。

また、パートナー側からSecure Coding Checkerのチェック結果を直接見られるようにすれば、さらなる開発品質の向上や開発スピードのアップにつながる。そこで品質管理部では、検収のやり方やライセンスの変更を含めて、Secure Coding Checkerのより効果的な運用方法を検討していく方針だ。

今後の展開：
リッチな体験に加え、安全・安心の面でもバリューを

同社は「モバイルでスマイル！」を企業理念に、お客様に長く愛され続けるサービスの創造に取り組んでいる。その実現には、プレイヤーにリッチな体験を提供するだけでなく、安心してプレイできることも欠かせない。

「情報セキュリティを考慮せずにモバイルコンテンツを提供するような開発会社は、今後、企業としての品格を保てないはずです。今まで以上にSecure Coding Checkerを活用して魅力的な作品に仕上げていきたいですね」（竹本氏）。

また、脆弱性対策チームの各メンバーは、情報セキュリティに関する最難関の資格である情報処理安全確保支援士（旧・情報セキュリティスペシャリスト）の合格も目指している。コンテンツの魅力だけでなく、安心・安全でもバリューを生み出すべく、さまざまな挑戦を続けていく。

導入事例のダウンロードはこちらから

PDF版ダウンロード（728.9KB）

お客様プロフィール

株式会社サイバード様

https://www.cybird.co.jp/