ソースコード診断による網羅的な診断でユーザーに対して安全性を公表
- 株式会社Live2D
代表取締役 中城様
製品開発リーダー 佐藤様
広報 須田様
スマートフォンアプリ、家庭用ゲーム、VTuber、動画など幅広い用途で世界中のプロクリエイターが愛用する2Dモデリングツールを開発・販売している株式会社Live2D。提供しているSDKの安全性を第三者視点で確認するためソースコード診断のご依頼をいただきました。当社にご依頼いただいた背景や実施の効果についてお話を伺いました。
第三者視点の専門家による
客観的なセキュリティ診断
当社が提供するモデリングツールは多くのゲーム開発メーカー様にご利用いただいております。製品にセキュリティ上の不備があった場合、億単位のユーザーにご迷惑をおかけすることになるため、セキュリティには細心の注意を払っています。
今回外部のユーザーより脆弱性の可能性についてご指摘をいただく事象がありました。社内の調査・分析では危険度は低いと考えましたが、日々最新の脆弱性について知見を溜めている第三者の専門家による客観的な視点での評価も行うべきだと判断し、診断を依頼いたしました。
SDKの診断ができる
セキュリティベンダーを調査
Webやスマホアプリなどの脆弱性と比べると、マルチプラットフォームのグラフィックス関連SDKというマイナーなジャンルであることから、対応いただける会社が存在するかが懸念でした。
WebでSDKの対応ができそうなセキュリティベンダーを調査し、10社程度の中からGMOサイバーセキュリティbyイエラエを選定いたしました。ご対応いただくエンジニアの方に懸念点をご相談したところ、その場ですぐに脆弱性のパターンについて解説していただけたので、非常に知見があるエンジニアの方だと感じました。
こちらの意図を組んで診断要件を改めて設計してくださいましたが、他社と比較して見積りのスピードが早く、費用感も一番安かったので迷うことなく発注することできました。
客観的な裏付けをもって
ユーザーに対して安全性を公表
ソースコード診断と安全性の公表に関する支援を行っていただきました。ソースコードを提供して診断していただくと、セキュリティエンジニアの方との会話もソースコードレベルでできるようになります。ソースコードをお互いに理解しているため、不明点に対する質問回答や指摘事項に対する修正対応が非常にやりやすかったです。またソースコードを見ていただくことで網羅的に診断いただけたという安心感も得られました。
今回外部のユーザーから脆弱性の可能性に関する指摘をいただいたため、診断を行うだけではなく、ユーザーの不安を解消するため外部への告知まで考える必要がありました。セキュリティ情報に関する情報発信は初めてで知見がなく不安を感じていましたが、セキュリティ体制構築のプロにアドバイスをいただきトラブルなく発信することができました。
ユーザーに対して客観的な裏付けを持って製品の安全性に関する公表ができたため、ユーザーの会社に対する信頼感も高まったのではないかと考えています。
突如発生するセキュリティ要件に、
柔軟に対応いただけるセキュリティパートナー
使用言語の性質上、大きな脆弱性リスクは発生しづらい製品ですが、突然セキュリティリスクが発見されることがあります。GMOサイバーセキュリティbyイエラエのようにスピード感をもって柔軟に対応してくださるセキュリティパートナーがいることで、突然発生したセキュリティリスクに対しても慌てず対処でき、助かっています。今後もセキュリティの専門家として当社を支えていただけますと幸いです。
会社名 | 株式会社Live2D |
事業内容 | 株式会社Live2Dでは2006年の創業以来、世界中で使われる技術、100年後にも残り続ける技術を目指して、映像技術「Live2D」の開発を行っております。『描きたいとおりに描き、動かしたいとおりに動かす』という夢に向かって、我々はこれからも精進し続けます。 |
URL | https://www.live2d.jp/ |