株式会社MIXI｜セキュリティ診断導入事例

Item: 株式会社サイバーディフェンス研究所
Author: 株式会社MIXI

DMZサーバやWebアプリケーションなど外部との境界に加え、社内ネットワークへもペネトレーションテストを実施

今回、株式会社ミクシィでは、以前より実施してきたWebアプリケーションへのセキュリティ診断に加え、外部、内部からのネットワークへのペネトレーションテストをサイバーディフェンス研究所に委託しました。

社内外からのセキュリティ対策評価

mixiのユーザ数は現在1200万人を超え、その多くのユーザがアクティブな会員として頻繁にWebコンテンツを閲覧、更新しております。またFind Job !においても転職に伴う個人情報という非常に機微な情報をWeb上で扱っております。ミクシィにとっては、そのようなユーザの方に安心して円滑にWebサイトを使っていただくことがセキュリティ上最大の目的です。ミクシィでは、セキュリティ技術の導入・運用の強化に加えWebアプリケーションのセキュリティチェックも過去に実施してきましたが、今回はそれに加え、外部ネットワーク診断（インターネット経由の診断）と内部ネットワーク診断（オンサイト診断）をハッキングエキスパートの手による「ペネトレーションテスト」というかたちで実施しました。これにより、インターネット経由で不正にアクセスされるような脅威が存在しないかを確認することに加え、仮にDMZ内部または内部セグメントに何らか侵入された場合に、その被害がどの程度まで拡大してしまうかを検証することができ、過去のセキュリティ対策を含め現状のシステム全体の堅牢さを客観的に把握することができました。

起こりうる被害の深度を想定

今回のペネトレーションテストにより、社外・社内の両面における、セキュリティ上の問題点を把握することができました。これは脆弱性診断ツールによる画一的な診断により検出される脆弱性情報ではなく、実際のハッキングにより、どのような被害が起こりうるのか、というリアルな脅威の把握になります。このようなリアルな脅威を把握することは、現状のセキュリティ対策の評価と緊急性の高い問題点への対策のため、そしてそれ以上に、本質的にセキュリティを向上させるための戦略立案における非常に有効な情報として今後活用することができます。

継続することでより活きてくるセキュリティ診断

今後も、ミクシィでは今回のようなペネトレーションテストを継続していきます。ペネトレーションテストをミクシィのセキュリティサイクルに組み込むことで、リアルタイムでの自社セキュリティ状況の把握と、セキュリティ戦略の有効性を確認することができます。発見された問題点への技術的な即時対応による短期的なセキュリティ向上はもちろんですが、運用面・管理面も含めた中長期的なセキュリティ向上に寄与するよう、今後もペネトレーションテストを活用していきます。