こんばんは!管理人の緑茶です。
今日は時事ネタです。ニコニコ動画を運営しているKADOKAWAがサイバー攻撃で複数のサービス停止に追い込まれている件です。
さて、この話題を取り上げた理由ですが、ちょうどNサークルでもゲーム公開用のプラットフォームを作成しており、当然セキュリティについても議論していたので、議論の内容と今回の件を結び付ける形で紹介します。
Nサークルにてプラットフォームを公開しようとした場合に、大きな障害が3つありました。
1.負荷対策
2.WEB API対策
3.セキュリティ対策
この3つです。もちろん、大前提として「費用」は重要ですが、Nサークルでは活動費用は全て代表のニックさんが支払う取り決めなので、障害にはなりませんでした。
負荷対策は、レンタルサーバーなので他のサイトに影響を出さないように負荷をコントロールできないといけないということです。つまり入場規制が必須となります。
サーバーのOSや通信機器の設定を変更できない我々がどのように入場規制を行うのか、これが課題でした。
次がWEB API対策です。アツマールにあったスコアボードAPIのように、ユーザー間で共有できる情報や仕組みを提供する機能です。これがなければ、プラットフォームと言いながら、ただのゲームストレージになってしまいます。どのようなAPIをどうやって提供するのか、これが課題でした。
最後が全体的にかかわってくる「セキュリティ」です。プラットフォームが攻撃された場合に備える対策です。幸いにもレンタルサーバー側が基本的な対策は行ってくれているので、我々は自分たちが実装した部分のみについて検討しました。
結論としては、完全なるセキュリティは不可能という結論に達し、セキュリティの概念・対象を再整理しました。
そして、守るべきデータを持たないという方針で最低限のセキュリティ対策にとどめることになりました。
まさに今回のKADOKAWAの事例で見ても、大企業、しかもかなりセキュリティ意識の高い部類の会社でも、狙われてしまえば防御し続けるのは難しいということです。
セキュリティを強固にすればするほど、複雑になりコストが発生し、可用性(使い勝手)が低下します。今回のKADOKAWAの事例も、複数台のサーバーをネットワークでつなげていたため大規模な攻撃を許しました。これが各サーバーが独立し、ネットワークに接続されていない状態で稼働し、サーバー間のデータの受け渡しは人間がUSBメモリで毎回ウイルスチェックをしながら移していれば、被害は格段に減ったでしょう。
しかし、そんな構成では事業が成り立ちません。ある程度可用性を確保しつつ、安全を取ろうとすれば隙が生まれ、悪意ある者の侵入を許してしまうのです。
そうなってくると、セキュリティ対策にお金をかけて可用性を下げるよりも、最低限のセキュリティにとどめてハッキングありきの体制作りが今後は大切なのかもしれませんね。
0 件のコメント:
コメントを投稿