皆様、こんにちは!
Adrian Stone, Sr.EA製品セキュリティディレクター、2019年9月23日
Adrian Stone, Sr. EA製品セキュリティディレクター
先日当社は EAセキュリティウェブサイトで、製品の脆弱性報告プログラムを開始しました。これまでの優れた成果を目にし、思いを新たにしているところです。当社としまして、特にセキュリティコミュニティのリサーチャーの皆様に感謝の気持ちを伝えたいと思います。プレイヤー、ゲーム、そしてインフラの安全性を維持するために協力してくださり、本当に感謝しています。ゲーミングエコシステムの安全性を確保するために、この取り組みへの投資を継続し、さらに発展させていく中で、リサーチャーの方々と協力して進めることが今後も重要だと考えています。
今回この記事を公開するのには理由があります。
当社はセキュリティリサーチコミュニティとの協力体制から様々なことを学び、そして寄せられた報告について綿密な調査を実施しています。その中でこれまでに学んだことの1つは、コミュニケーション手段を持つことの重要性です。より大きなセキュリティコミュニティ、そしてセキュリティエンジニアリングに興味をお持ちのゲーマーの皆様とつながることです。その重要性を鑑み、当社はEAセキュリティブログという新たなコミュニケーションの場を設けることにしました。お客様とコミュニケーションを取る新たな方法の構築にも取り組んでいます。公開可能になりましたら、こちらのブログでお知らせいたします。
これに関連して、ここで1つだけ宣伝をさせてください。素晴らしいチームに加わってくださる方を、 現在募集中です!EAのセキュリティチームは様々な領域を担当しています。エンタープライズセキュリティはEAの企業システムをマルウェアの攻撃や侵入から守っています。製品セキュリティエンジニアリングは、EAのゲームやオンラインサービスが開発ライフサイクルのあらゆる時点で安全性を確保できるように努めています。セキュリティ脅威は進化し、変化を続けます。その中でEAとプレイヤーの皆様を脅かす新たな脅威の出現に対処すべく、上記の2チームを編成しています。
脆弱性報告プログラムはまだ始まったばかりであるため、皆様から特に次の2点について多くの質問が寄せられています。今回はそれらについてお話したいと思います。
1) EAはセキュリティに対する影響をどのようにして判別するのか
EAでは問題の深刻度を2つの手段を用いて判別します。まず1つめですが、業界内で有用性が認められているCVSSスコアリングシステムです。もう1つが、「クリティカル」や「低」など、4段階の分類による評価です。もっとも深刻なものは「クリティカル」に分類されます。これはユーザーがほとんど、またはまったく関与することなく、脆弱性を利用した攻撃が行われるような問題です。「クリティカル」と分類された問題では、デフォルト設定の状態でプレイヤーの皆様やお使いのデバイスが攻撃にさらされる危険性があります。またこのような専門知識がない人が知らず知らずのうちに踏み台となって、さらに影響が拡大することも考えられます。まず「クリティカル」に分類されるかどうかを判断して、それから他の3つ(重要、中、低)の分類へと進みます。その際に考慮するのは攻撃者が脆弱性を利用する際の障壁です。シンプルに説明するとすれば、「攻撃者が脆弱性を利用する際に障壁が多いほど、深刻度が低くなる」ということになります。
2) 報告を受けた問題について、EAは深刻度をどのように分類するのか
セキュリティに対する影響についてはとてもシンプルです。業界内で有用性が認められているSTRIDEセキュリティモデルを用います。これは脆弱性の影響を明確に示す分類モデルです。セキュリティ問題となり得る報告を受けると、セキュリティチームのメンバーがまずトリアージを行います。これが調査プロセスの最初のステップとなります。問題が追加調査の実施基準に合致する場合は、担当するセキュリティエンジニアを決定し、EA内の該当分野の技術専門家と連携して、問題の対処にあたります。調査過程ではセキュリティに対する影響と深刻度も決定されます。
コミュニティと協力し、ゲーミングエコシステム全体に貢献するこのような取り組みを実施できて本当に嬉しく思います。今後も最新情報にぜひご注目ください。
- Adrian Stone