株式会社ポケモン、Akamai を活用してゼロトラスト・セキュリティを推進

ビジネス成長を阻むセキュリティリスクを最小化するために

ポケモンのビデオゲーム、トレーディングカード、映画、メディア、商品、イベントは世界中で人気です。株式会社ポケモンは世界的企業であり、その成長のスピードを鈍化させかねないリスクと言えるのがサイバー攻撃の脅威です。

同社のテクニカルディレクターとして社内情報システムを管理している関剛氏は次のように述べています。「標的型攻撃に代表される今日のサイバー攻撃は実に巧妙で高度です。社内ネットワークとインターネットの間にどれだけ多くの防御を敷いても、脅威の侵入を 100 ％阻止するのは至難でしょう。とはいえ、その攻撃から機密情報を守るすべを確立しなければ、ビジネスを安全にスケールしていくことはできず、情報漏えいによってポケモンのブランドを毀損してしまうリスクは低減できません。攻撃への備えを整えることは、極めて重要なビジネス課題と言えました」

究極のゴールはゼロトラスト・セキュリティ

ポケモン社における働き方の特性は、決して情報セキュリティが確保しやすいものではありません。例えば、同社の社員は、出張・イベント・店舗など、拠点外で働くことが多くあり、リモートから社内ネットワークへのアクセスを頻繁に発生させます。また、ビジネスパートナーの数も非常に多いうえに、それぞれの IT に関するセキュリティ基準も異なります。加えて、ポケモン社の事業では、数多くの情報を扱う。そのため、情報ごとに細かくアクセス権限を分けて、厳格に管理していく必要もあります。

同社の社内情報システムを担当することになった関氏は、不正アクセスに対する追加の保護対策を即座に行いました。同氏は、シングルサインオンの導入による認証基盤の整備も行いました。また、サードパーティによるセキュリティ・リスク・アセスメントも実施し、潜在するリスクを洗い出してセキュリティニーズの把握に努めました。

「リスクは何も発見されませんでしたが、それで標的型攻撃への備えが万全という証明にはなりません。今後は、標的型攻撃や機密情報の抜き取りを、早期に検知して未然に防ぐことが重要になっていくと感じました」と関氏は振り返ります。こうして、サイバー攻撃への備えについて考えを巡らした結果、関氏がたどりついた答えの一つが、「 ゼロトラスト・アーキテクチャ 」の実現でした。

「サイバー攻撃の高度化によって境界型の防御に限界が見えている以上、ネットワークを信用するエリアと信用しないエリアに分けて、セキュリティを担保するという従来型の手法は通用しなくなっているはずです。必要なのは、すべてについて検査・認可・認証の制御をかけていくことです。つまり、ゼロトラストの考え方が今後は必要だということです」と関氏は言います。

「しかし、 ゼロトラスト・セキュリティ・モデルの実装にも課題があります」と同氏は続けます。「最大の懸念は、セキュリティチームの業務量の増大でした。社内情報システム部門のスタッフ数には限りがあり、新たなセキュリティ対策によって業務量が増えるような状況は避けなければなりませんでした」

最小限の運用負荷で潜在脅威の見える化と抑止

セキュリティチームの業務量を最小限に抑えながらゼロトラスト・アーキテクチャを実装するためのソリューションとして、関氏は Akamai のゼロトラスト・セキュリティ・ソリューションである Secure Internet Access Enterprise と Enterprise Application Access（EAA）を選択しました。

Secure Internet Access Enterprise は、DNS トラフィックを検査し、悪性のドメインや URL へのリクエストを事前にブロックするクラウドベースのセキュア Web ゲートウェイです。このソリューションは、Akamai の膨大な脅威インテリジェンスによって、社内のデバイスから悪性サイトやコマンド・アンド・コントロール・サーバーへの接続を未然に防ぎ、フィッシング、マルウェア、データ窃盗などの実害の発生を阻止することができます。

「Secure Internet Access Enterprise で優れているのは、DNS サーバーへのクエリーの向け先をこの IP アドレスに変更するだけで利用が開始できる簡単さです。しかも、クラウドサービスなので、運用に手間がかからず、社外の端末でも同じセキュリティレベルが確保できます」と、関氏は付け加えます。

「おそらく、Akamai のサーバーは、インターネット上で最も普及しているデバイスでしょう。ゆえに、Akamai のもとに集められる脅威情報は世界で最も多いはずで、その脅威インテリジェンスは全幅の信頼に値するものと見ています」と関氏は語ります。

関氏の同僚である井上絵美子氏（製品管理担当）は、次のように続けます。「Secure Internet Access Enterprise 導入で、セキュリティ運用はかなり楽になりました。たとえば、何らかのインシデントが起きた場合、通常では、異なる機器からのログを照らし合わせて、分析するといった作業が必要ですが、Secure Internet Access Enterprise ではそのような作業をする必要は全くなく、そのダッシュボードを通じて、社内ネットワークでいま、何が起きているかがリアルタイムに把握できます。フィルタリングが簡単で、どのユーザーが不正なサイトにアクセスしようとしたかといった情報も可視化できています。ですので、インシデントに対するプロアクティブな対処も可能になっています」

EAA の採用でゼロトラストへ向けさらに前進

脅威防御により、株式会社ポケモンのゼロトラスト・アーキテクチャへの移行の第 1 フェーズは完了しました。現在、アプリケーションアクセスのセキュリティ確保という第 2 フェーズにフォーカスしています。同社は、クラウドベースのアイデンティティ認識型プロキシである Akamai の Enterprise Application Accessを導入予定です。EAA は、脅威インテリジェンス、デバイスポスチャー、ユーザー情報などのリアルタイムの信号に基づいて、安全な適応型のアプリケーションアクセスを提供します。EAA は、スケーラブルな Akamai Edge プラットフォームの一部なので、VPN 経由のネットワークアクセスが不要になります。同時に、アプリケーション配信のリスク、コスト、複雑さも軽減します。

「Enterprise Application Access によって、運用管理に手間のかかる VPN が廃止できますし、社内リソースへのリモートアクセスの高速化も期待できます。引き続き、Secure Internet Access Enterprise で標的型攻撃対策を固めます。これによって、ゼロトラスト・セキュリティの実現に大きく近づけると考えています」と関氏は述べています。

Akamai の 2 つのゼロトラスト・ソリューションの導入により、株式会社ポケモンはセキュアかつスピーディーな成長へと進んでいます。

株式会社ポケモンについて：

1998 年 4 月に任天堂株式会社、株式会社クリーチャーズ、株式会社ゲームフリークの共同出資により設立され、当初はポケモンセンター株式会社として設立されました。2000 年 12 月、社名を株式会社ポケモンに変更し、取り組む領域をポケモンのブランドマネジメント全般に拡大しました。現在、ポケモンのビデオゲームシリーズ、アニメ、トレーディングカードゲーム、映画、関連キャラクター商品の制作、販売、ライセンス供与を行っており、ポケモンの公式 Web サイトも運営しています。子会社には、ポケモンセンターおよびその他の公式店舗を運営する株式会社ポケモンセンター、北米およびヨーロッパを含むアジア以外の地域でポケモン関連事業を運営する Pokémon Company International、Pokémon Korea, Inc などがあります。