お気に入りタイトル/ワード

タイトル/ワード名(記事数)

最近記事を読んだタイトル/ワード

タイトル/ワード名(記事数)

LINEで4Gamerアカウントを登録
[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
特集記事一覧
注目のレビュー
注目のムービー

メディアパートナー

印刷2008/03/14 08:03

インタビュー

[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策

パーソナル 代表取締役 天野浩明氏
画像集#002のサムネイル/[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
 OGC 2008では,セキュリティソリューション会社パーソナルの代表取締役 天野浩明氏が,「お客様保護の観点から見たオンラインゲーム最新不正対策事情とその対策費の事情」なる講演を行う。
 タイトルからも分かるように,この講演は直接ゲームプレイヤーに向けられたものというより,主にゲームパブリッシャ,なかでもそのセキュリティ担当者にとって有益なものとなりそうだ。同社独自のセキュリティソリューションが持つ機能と効用についての話はもちろんだが,以前オンラインゲームパブリッシャに在籍していた天野氏によると,サービス規模に応じて,バランスのとれたセキュリティコストを考えることが重要なのだという。
 講演内容のプレビューを兼ねて,天野氏へのインタビューをお届けしよう。例えばオンラインゲームプレイヤーが,現在どんなタイプの被害に遭いやすいのかといった話題は,読者諸子にとっても大いに参考になるはずだ。

不正アクセス元を効率よく割り出すソリューション


画像集#004のサムネイル/[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
4Gamer:
 本日はよろしくお願いします。まずはパーソナルさん独自のセキュリティソリューションに関して教えてください。これは,決済システムやアイテム販売サイト向けでなく,ゲーム自体に即したソリューションですか?

天野浩明氏:
 そうです。このプログラムの開発元が持っている地域認証技術の特許を使った,ゲーム自体に対するソリューションです。

4Gamer:
 地域認証技術というのも,あまり一般的な用語ではない気がしますけれど,つまり不正行為者の居所を絞り込むことが,このソリューションの核になるんですか?

天野浩明氏:
 そのとおりです。いままでは,あるプレイヤーが不正な行為をやったのかやらなかったのかを正しく判定する方法が,セキュリティソリューションの論点だったと思うんですけども,当社のソリューションは,どこから接続しているプレイヤーが,どこまでの不正行為をやっているかというところまで,追跡できるのです。

4Gamer:
 なるほど。基本的な質問ですが,それはソフトウェアでしょうか? それともコンピュータを含んだシステム全体なんでしょうか?

天野浩明氏:
 ソフトウェアです。

4Gamer:
 すると,ゲームパブリッシャさん自身が運営の中で使うものなんですね。

天野浩明氏:
 はい。ツールの一つとして利用してもらう形です。普通パケットモニタリングシステムを導入するとなると,そのゲームや,パブリッシャさんの運営手段にもかなり手を入れる必要が出ます。
 それに対して当社のソリューションは,運営を担当するGMさんなどが使うための「ツール」です。すでにあるゲームタイトルのシステムに合わせる形でツールをカスタマイズしていくので,ゲームのプログラムを作り変える必要はいっさいないのが,大きな特徴です。

4Gamer:
 ツールのほうで,ゲームに柔軟に合わせられると。

天野浩明氏:
 そうなっています。

4Gamer:
 そのカスタマイズはパーソナルが行うのですか?

天野浩明氏:
 そういう形になります。

4Gamer:
 なるほど。ではその場合の不正行為とはどんなものを指しますか? オンラインゲーム内の不正行為といっても,いろいろありますが。

天野浩明氏:
 主に不正アクセスです。お客様のアカウントとパスワードがハッキングされ,使用された場合,いままではお客様からの報告に基づく対応が主でした。
 それに対してこのシステムを使うと,お客様が気づくより前に異常を検知できるのです。お客様から報告をもらう前に,パブリッシャさん側で「このお客様は不正アクセスに遭ったおそれがある」ということで対応を取れる点が,大きな特徴となってます。

4Gamer:
 地域認証が核だとすると,例えば大阪にいるはずのプレイヤーさんのアカウントが東京で動いているとか,そういうことが分かると。

天野浩明氏:
 そういうことも分かります。あとはプロキシサーバー経由での接続を検出し,不正利用の可能性が高いプレイヤーを絞り込むことも可能です。これは,私の前職での経験からいっても,たいへん重要なアプローチです。

4Gamer:
 つまり接続ルートの,効率のよい検索がソリューションの根幹部分ということになりそうですね。

天野浩明氏:
 そうです。

4Gamer:
 明らかにプロキシを使って匿名化工作を行っているのであれば,それは不正である可能性が高いですから,有益な情報ですよね? でも,ある地域に住んでいるはずのプレイヤーさんが,ほかの地域から接続するというのは現実にあり得ます。例えばそういった場合,どうやって不正の可能性を判別することになるのでしょうか?

天野浩明氏:
 例えばいまここで,Aという人が東京からゲームに入り,しばらくプレイしてからログアウトしたとします。その1時間後に札幌から接続が来た場合,どんな交通手段を使っても,それは普通あり得ないわけです。
 このようにログインの時間やゲーム内での行動を検索し,それと地域の情報をマッチングさせて,不正ユーザー抽出の精度を高めていくのです。

4Gamer:
 なるほど。時間と空間,両方のアプローチを併用するんですね。

天野浩明氏:
 そうです。接続ルートとその両者を突き合わせるのです。

4Gamer:
 接続をたどっていくとすれば,最終的にはIPまでですよね? そこから先,パブリッシャさんには何ができることになりますか?

画像集#005のサムネイル/[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
天野浩明氏:
 アカウントハッキングに遭ったおそれがあるということで,本来のユーザーさんに連絡しつつ,それ以上被害が拡大しないよう一時的にアカウントを凍結するといった措置が,パブリッシャさんの手で可能になります。「こういった接続に見覚えはありますか」といった問い合わせをお客様に行いつつ,事態に対処できるわけです。
 大規模な被害が生じている場合は,ルートIPアドレスをたどってプロバイダさんに連絡し,接続制限や調査の依頼が可能になります。

4Gamer:
 それを,確たる証拠に基づいて行えると。

天野浩明氏:
 そうです。とくにプロバイダさんという外部の方に依頼するとなると,確かな情報が重要ですから。

4Gamer:
 なるほど。再び不正行為の範囲の話になりますが,アカウントハッキングは法的に見て明らかな犯罪をともなう不正であり,いまお聞きしたソリューションで,ある程度検出可能だと思います。
 それに対して,例えば海外から特定のリモートサーバーを通じてアクセスし,そのゲームの中でゴールドファーミングを行うという事例では,法的に微妙でもサービス規約から見れば不正行為である場合が多い。そして,IPを終点としたルート追跡が,あまり有効でないようにも思えます。

天野浩明氏:
 そうですね。

4Gamer:
 論点を二つ並べてしまいましたが,まず,検出する不正の種類は,ある程度幅広く定義可能なのでしょうか?

天野浩明氏:
 可能です。パブリッシャさんの利用規約に基づいて禁止行為を定義し,それを行っているアカウントを抽出できるよう,カスタマイズできます。

4Gamer:
 では二つめの論点ですが,日本国内にリモートアクセスサーバーを立てて,日本のゲームサービスに海外から接続するといった場合に,パーソナルさんのソリューションにおけるルート検索は,リモートサーバーの後ろまで行くものですか?

天野浩明氏:
 現状では行きません。ただしいまそこの部分の対策を,開発会社と一緒に進めています。リモートサーバーの後ろまで行ける仕組みは,すでに開発に入っていますから,来年もしくは再来年には実現する見通しです。

4Gamer:
 “踏み台”を逆方向に踏み越えていけるツールになると。

天野浩明氏:
 そのとおりです。

4Gamer:
 国際的な訴追が必要かもしれないという別レイヤーの問題は残りますが,とりあえずアカウントを止めることさえできれば,現実として対処は可能というわけですね。

天野浩明氏:
 そうです。お客様のアカウントが不正使用された場合,被害者はパブリッシャさんになりますので,パブリッシャさんが警察に被害届を出さなければなりません。そういったとき,司法機関側も捜査しやすいように,確実な記録を求めているのです。
 ここの地域のこのプロバイダからこれだけの接続が来て,このお客さん達が不正アクセスに遭いましたという明確な被害届を出すことは,不法ユーザーの検挙を目的とした場合,大幅な所要時間の短縮になるのです。そういった,司法証拠的な記録にも対応できるようにしてあります。

4Gamer:
 ある側面から見ると,司法ソリューションでもあると。

天野浩明氏:
 そうです。

4Gamer:
 では,自分のアカウントでバレないようにゴールドファーミングに励んでますといった場合,それへの対策になる機能はありますか?

天野浩明氏:
 パブリッシャさんのルールに基づいたログ解析の機能も一緒に入っておりますので,例えば特定の座標範囲をずーっと歩き続けて,何もしゃべらず,ずーっと休まずに動き続けているとか,そういった異常な行動ログも抽出できます。

4Gamer:
 そのうえで,本人に問い質す形になると。

天野浩明氏:
 リアルタイムで見ていくのでなくて,記録を残すのがポイントです。それをしないと,例えばお客様から「そんなことしてないよ」と言われた場合,水掛け論になってしまいます。
 またリアルタイムで判断し,間違えてアカウントを凍結したり停止したりすると,それはそれで問題です。そうした意味で,あくまでログ解析に基づく迅速な対処には,大きな意味があるはずです。

4Gamer:
 物として,証拠としての側面は,警察沙汰でなくても重要というわけですね。

天野浩明氏:
 重要ですね。

ゲームを踏み台に,さまざな個人情報を盗むのが
不正のトレンド


画像集#007のサムネイル/[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
4Gamer:
 ではここからは,講演内容についてお聞きしたいと思います。「お客様保護の観点から見たオンラインゲーム最新不正対策事情とその対策費の実情」というのはすごく具体的な演題ですが,その意味するところを,順を追って教えてください。

天野浩明氏:
 セキュリティソリューションを手がけて,いろいろなパブリッシャさんのお話を聞き,さまざまな問題に対処するなかで,どうしてもまだ,各パブリッシャさんが巧妙化する不正の手口を追いきれていないと思うことがあるわけです。そこで,最新の動向をお知らせしようというのが一つです。

4Gamer:
 最新の動向,ですか。その中身は例えばどんなものでしょうか?

天野浩明氏:
 不正行為者がオンラインゲームを舞台にお金を稼ぐという枠組みから,外に出つつあるということです。オンラインゲームを踏み台にして,ほかの個人情報をハックし,そちらを換金するところに犯罪の中心が移っているのです。これからはそこを意識した対策が必要です。

4Gamer:
 事例としては以前からあったものでしょうけれど,それが増えているというわけですね。では「対策費の事情」とは,どういった意味でしょうか?

天野浩明氏:
 オンラインゲーム会社さんが,「うちはこれだけセキュリティにお金をかけているんだよと,人も投入しているんだよ」と言ったときに,それが費用対効果として適切なのかどうかは,あまり表に出てきません。
 これくらいかけたら,これくらいの効果があるというのが一番効率がよいですよという部分に,ちょっと切り込んでお話ししたいのです。

4Gamer:
 確かにセキュリティの費用的側面というのは貴重というか,きっとパブリッシャさんにとってすごく参考になる情報でしょうね。
 では順番に。オンラインゲームを踏み台にするというのは,例えばアフィリエイトの悪用などを指していますか? それともオンラインゲームを入り口にして,個人情報を手に入れるとか,そちらのほうでしょうか?

天野浩明氏:
 個人情報のほうです。端的な例としては,オンラインゲームのアカウントを詐取して,それを元に登録情報を引き出す。そこからメールアドレスをハッキングし,クレジットカード番号やほかの情報を盗むわけです。オンラインゲームのアカウントが,ほかの犯罪の窓口,足がかりになってしまっているといった話です。

4Gamer:
 被害に遭った人にとって,より深刻なほうでしたか……。

天野浩明氏:
 ゲームのアカウントを作るときに,お客様はどうしても,憶えやすい番号や文字列を使いたがりますし,いまほかのサービスで使っているパスワードを流用するケースも多いので。ゲームのパスワードとメールのパスワードが同じというケースはけっこう多くて,そこから開けられてしまうという例も多いのです。

4Gamer:
 そこはパブリッシャさんからもぜひ喚起してほしい,基本的な用心かもしれませんね。

天野浩明氏:
 それと,いまは割と沈静化してきてはいるんですけど,ゲームアカウントとメールをハックし,パスワードのリマインダを使ってゲームに入るとかです。去年はこれが主流だったんですけれど,いまはゲーム内のアイテムを盗んで換金しようという考えからさらに一歩踏み込んだ,悪質な例が増えてきています。個人情報全般を盗むのが主体であるケースが,傾向的には多くなってきてるんですよ。

4Gamer:
 オンラインゲームを入り口として,お金にできる限りのものをかき集める形になりつつあるわけですね。

天野浩明氏:
 そうです。あといま件数的に多いのが,コンビニ決済のプリペイドカードの残額が狙われるケースです。ゲーム内アイテムよりも,そういった残高やクレジットカード番号のほうが直接お金につながっているぶん手っ取り早いんですよ。
 それで得たお金で,とある国から接続させてゴールドファーミングをやったりとかね。元手ゼロでできてしまう動きが多くなってきてます。

4Gamer:
 クレジットカードは,例えばそれで何か買って,見えないところにそれを送らせれば,いかようにも換金できますよね? プリペイドシステムの残額って,簡単に換金できるものなんでしょうか?

天野浩明氏:
 やはり残額で何か買って換金する形だと思います。

4Gamer:
 なるほど。つまりリアルの世界における闇金融の行動様式を,ゲーム内でなぞっていると。

天野浩明氏:
 そういうことになります。

4Gamer:
 そうやって手に入れた有料ゲーム内アイテムを,またゲーム内でさばいて――

天野浩明氏:
 いわゆるロンダリングですよね。

4Gamer:
 名札の付いていない物を介して,自分のお金にしちゃうと。そうだとすれば,プリペイド課金でもぜんぜん安全ではないわけですね。

天野浩明氏:
 ないですね。信販会社さんやプリペイドカード業者さんのセキュリティはものすごくガッチリしていて,お客さんの個人情報もそうそう略取できません。けれども,反対側でそれを所持しているお客さんが狙われるのです。
 たとえていえば,立派な家を建てて,ものすごいお金かけてセキュリティシステムを導入しても,その家の鍵を持ってる人の管理が甘ければ,いかようにも侵入できますという状態になってますので。
 やはり認識の甘さが大きくて,こればかりはパブリッシャさんとしても,お金をかけてセキュリティ対策をしたから大丈夫だという部分でもないわけです。そこをいかにして分かってもらい,気をつけてもらうか。これも一つのお客様保護だと思います。

不正アクセスへの対処は,無形の部分こそ高価


画像集#010のサムネイル/[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
4Gamer:
 まず啓蒙というか,要するに警鐘を鳴らすことが,パブリッシャさんにとって必要なことではないかと。

天野浩明氏:
 各ゲーム会社さんも,お客様に対して啓蒙はしていると思うんですよ。それでもやはり,お客様側が追いついていない部分があると思います。ではどうすべきなのか,本当にみんなで議論してほしい部分なんですよ。いかにしてお客さんに気をつけてもらうかを考えるのは,非常に難しいんです。やはりゲーム会社さんには「お客さんの責任だから」っていう気持ちが,多少なりともあるんですよね。

4Gamer:
 実際にそうなのかもしれないけれど,それじゃお互いに不幸なままですしねえ。

天野浩明氏:
 そこでパブリッシャさんの気持ち,見方を変えてほしいなと。実際,不正アクセスにおいてパブリッシャさんは常に被害者なんですし。

4Gamer:
 最終的にそうですよね。アカウントハックなどだと非常に分かりやすいですけど。

天野浩明氏:
 盗まれたアイテムはお客さんが持っていたものですし,アイテムやキャラクターがなくなったりするわけです。法的に見ればパブリッシャさんが被害者ですし,法的には見えないけれど,もちろんお客さんも被害者です。なので,いかにしてそこの部分を救済するかを考えていくのが,今後非常に必要になってくるんじゃないかなと。

4Gamer:
 そうか。そもそも法的な被害者はパブリッシャさんでしたね。

天野浩明氏:
 プレイするゲームを選ぶに当たって,サービス内容や料金はもちろん重要です。でもいまは安全性も考える要素の一つになってきていると思います。「ここで遊ぶと自分のアカウントが盗まれちゃうよ」っていうゲームでは,やっぱりお客さんがいなくなってしまいます。

4Gamer:
 それは当然のことですね。法がどうあれ,プレイヤーにとってプレイ時間は“投資”であり,その成果は“資産”なんですから。

画像集#006のサムネイル/[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
天野浩明氏:
 その一方,お金をかけないでセキュリティの効率を上げる方法はいくらでもあるんですよ。例えば月間1000万円しか売り上げがないゲームタイトルのセキュリティに,2000万円はかけられないわけじゃないですか。とにかくお金をかければよいっていうもんじゃないので,予算をよく見極めて対策していってほしい,という部分が,今回の講演の一番のテーマです。

4Gamer:
 お。費用対効果の論点ですね。詳細なデータはさておき,話の組み立てを教えてもらえますか。

天野浩明氏:
 はい。いままでネットワークのセキュリティで考えられていたのは,システムを買って導入していく部分が中心でした。要するにウィルス対策や,24時間監視だとかで,これはものすごくお金のかかる部分です。それに加えて人的セキュリティですね。GMさんによる監視という,ヒューマンリソースの費用です。
 でも,そういった部分のほかに,発生した不正アクセスへの対処費用が,実はすごく大きいのです。いつの間にか各所に生じてしまう費用ですから,あまり意識されていませんが。

4Gamer:
 予防でなく,治療のほうが見えづらいわけですね。

天野浩明氏:
 不正アクセスがあった場合,お客さんはGMさんなどに問い合わせます。それでGMさん達が動く。一方警察の捜査への対応は,システムメンテナンスをやっている人が,ログ出すという形で行われる。予算項目が立たない部分で,ものすごく費用がかかっているのです。
 そこで,本来どれくらいかければいいのかを,ゲームの規模に合わせて考える必要があります。例えばそのゲームで1日何万人のアクセスがあるなら,月で見たときにこれぐらいが妥当な,あるいは典型的な費用だよと。
 それを大幅に超える費用を投下しても,費用ばかりかかって効果はあまり見込めないし,それよりかなり少なければ,やはり対策は見込めないというラインを,具体的に説明しようと思います。

4Gamer:
 すごく短く言うと,効用逓減曲線みたいなのがあると。

天野浩明氏:
 そういうことですね。ただし,ゲームの内容によって若干のばらつきはあります。例えばアイテム課金のゲームだと不正なRMTがありませんので,不正アクセスやチート,BOTへの対策でも,それを考慮して最適化していくべきです。そうしたゲームタイトルごとの違いは若干あるんですけど,基本的にサービス規模によってある程度固まった数字がありますので,それを基に補正していくことで,そのゲームで妥当なラインが決まるのです。

4Gamer:
 「あまり意識され」ない出費だというのは,例えばGMさんが動いたとき,GMさんの人件費全体がふくらんじゃって,不正行為への対処がどのくらいの割合になっているか分からない,という理解でいいんですよね?

天野浩明氏:
 そうです。例えばウイルス対策ソフトを買いましたって言われたら,これは明らかにセキュリティ対策費だと分かります。また,不正対策専門のGMさん達がいるならば,やはり分かると思うんですけれども,一部の大手パブリッシャさん以外に,不正対策専門のGMさんはいないことが多いのです。

4Gamer:
 そこに突然,やれログ出せとかいう話が降ってくると。

天野浩明氏:
 それがGMさんの負担であったり,システム管理者さんの負担であったりするのです。あとは営業側の対応,警察の窓口への対応も,どうしても通常業務の間に入ってきます。仮にこれらを抜き出してつなぎ合わせていくと,実はすごく大きな数字になっているのが,いまの実情です。

4Gamer:
 見えづらいけど,バカにすることはぜんぜんできないと。そのお話で気になったのですが,そうした,ゲームの種類やサービス規模に応じたセキュリティの適正サイズ,モデルケースを提供できる背後には,その根拠となるサービス経験や事例が,豊富にあると考えてよいわけですね。

天野浩明氏:
 まあ,そういうことです。話の性格上,なかなか具体的にはお話ししづらいのですが。講演で,まずはそういった見えない人件費を各パブリッシャさんに理解してもらい,その圧縮について考えてもらえればと。そして,そのための手段としてパーソナルのソリューションに注目してもらえれば,嬉しいんですけどね(笑)。
 私個人の話になりますが,以前の職場がオンラインゲーム会社で,そういう分野にずっと携わっていましたので。そのノウハウを元に動いておりまして,各方面,団体,あとは警察機関を含めて常に意見交換をしています。サイバー犯罪の最新の手口といった情報は常に持っていますので,それに合わせた取り組みをやっているという状態です。

不正アクセスによる損害を,誰がかぶるのか?


画像集#009のサムネイル/[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
4Gamer:
 ところで,クレジットカードの不正課金問題で,ゲームパブリッシャさんと信販会社さんが,しばしばぶつかり始めているという噂を聞くんですけれど,これは本当ですか?

天野浩明氏:
 どこまでをカード会社さんが持ち,どこからをゲーム会社,パブリッシャさんが持つのかというのが非常に難しい部分で,しばしば衝突する部分になるんですよ。
 よくある例としては,信販会社さんが推奨するソリューションを入れましたと。その場合被害に遭ったら,信販会社がその部分を全額負担しますという特約が付いているケースがほとんどです。
 ただし,負担規模の上限額が付いている場合も多いのです。例えば,推奨ソリューションが破られたケースでは,月に300万円まで保証しますよ,という話です。ところがそのラインを超えて,500万円の被害が出た場合に,差額をどちらが負うか。そうしたトラブルがけっこう多いのです。

4Gamer:
 信販会社さんもファイナンス(保険)的な考え方を適用しているわけですね。リスクサイズに対応して。ただ,予想=契約ですから,その予想を超えたら契約外という話にならざるを得ないと。
 素朴な質問なんですけど,例えばセキュリティソリューション会社が,その被害についてコミットすることは,この市場としてあり得るんでしょうか?

天野浩明氏:
 ええとですね,そこは非常に難しい部分になってまして。本当はコミットしていければ一番良いんですが,やはり100%のセキュリティソリューションは存在しないので。

4Gamer:
 常に未知の危険を相手にしている業種である以上,ファイナンス的な考え方も一方で必要だと。

天野浩明氏:
 そうですね。お互い納得できる形に収めたいわけですが,やはりセキュリティソリューションはいくばくかの確率で破られてしまう。そしてその原因がユーザーさんにあった場合,ユーザーさんの責任であって,うちに手落ちはなかったと,パブリッシャさんは言わざるを得ない。

4Gamer:
 要するにヒューマンエラーだと。

天野浩明氏:
 なんですけど,信販会社さんは,それをお客さんに強く言えなかったりして。そこで責任の押し付け合いになるというのが,しばしばあります。

4Gamer:
 かといって,なんでもかんでも法廷に持ち込めるわけじゃないですからね。

天野浩明氏:
 そうなんですよね。また,オンラインゲームでは見えないサービスに対してお金を払っているじゃないですか。なのでそもそも犯人を見つけづらい。ゲーム内アイテムじゃなくてリアルの品物を買ったなら,足取りもまだ追いやすいんですが。見つけづらいのと,それゆえに件数が多いのが,一番の問題です。

4Gamer:
 そうすると,セキュリティソリューション会社がそれにコミットしようと考えても,そう簡単にできるものではないと。
 ではセキュリティソリューションとはそういうものとして活用するしかないとして,パブリッシャさんと信販会社さんは,それぞれ足し引きで折り合いをつけるしかないと。

天野浩明氏:
 そこで信販会社さんと直接やりとりしていればいいんですけれども,間に決済代行会社さんが入った場合に,そこがトラブルの要因になる場合もあります。
 例えば決済代行会社さんと信販会社さんの間で,免責額の上限が設けられていたとします。しかし,決済代行会社さんとゲーム会社さんが契約したときに,セキュリティソリューションを信じて,免責上限額の契約をしていなかったとしますよね? これでそのセキュリティソリューションが破られて,免責上限を超える被害額が出たら,どうなるかということです。

4Gamer:
 パブリッシャさんにすれば,そんな話聞いてないよ,と。なるほど,生臭い話ですが,いかにも起きそうです。

画像集#008のサムネイル/[OGC2008#10]お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
天野浩明氏:
 そこで,セキュリティソリューションがそれほど信頼できないなら,免責額を下げようかっていう話も,けっこう出ているみたいでですね。もっと強力なソリューションが出てくるまで,免責を減らしたり,なくしたり。そうした動きになっているようです。

4Gamer:
 ファイナンス的に考えたとき,セキュリティの信頼度が低いとなれば,危険だから免責額を引き下げないといけない。安全ならばその逆で,ある程度大きな額でも成り立つ。そういう仕組みになっていると。
 投資レイヤーじゃなくて課金レイヤーでも,そういうお金の揺らぎがあるものなんですね。

天野浩明氏:
 そうです。しかも,売り上げ額に応じて免責額が決まるならともかく,けっこう一律で決まっちゃっているという問題もあってですね。

4Gamer:
 え。そういうものなんですか。

天野浩明氏:
 年間1億売り上げているところで,300万円の不正ユーザーっていうのと,500万売り上げているところで300万円の不正ユーザーっていうのでは,パーセンテージがぜんぜん違うわけなんですよね。

4Gamer:
 そうですね。実際の不正は,当然確率的,統計的に生じるわけだから,規模が大きければ多いわけですよね。

天野浩明氏:
 そうなんですけど,契約的にはもう本当に,このシステムではここまでしか免責しませんよ……ってなるとですね。

4Gamer:
 そこの天井は,セキュリティソリューションの種類によって決まっているんですか?

天野浩明氏:
 信販会社さんごとに,ある程度決まっているという部分もあります。

4Gamer:
 信販会社さんのほうが一律で決めちゃってる場合があると。

天野浩明氏:
 そうですね。あくまでもこれは信販会社さんとパブリッシャさんとの契約になってきますので,その中で押し問答をしながら,契約を更新していくという形になると思います。

4Gamer:
 では,すごく個別個別の解決もあると。

天野浩明氏:
 ありますね。

4Gamer:
 だいぶ恐い話になっちゃいましたが,どうまとめようかなあ(苦笑)。ともあれ最後に,講演を聞きに来る方――パブリッシャさんや関連業種の方,興味のある一般の方もいらっしゃると思いますが――に向けて講演のPRを簡単にお願します。

天野浩明氏:
 当日は最新の情報に基づいて,市場の現状をお話しさせていただきます。そのなかで,一般の方も含めて「ああ,こういったトラブルがあるんだ,やっぱりちょっと注意しなきゃ」という警戒意識を,ぜひ持ってもらえればと思います。
 そしてパブリッシャさんには,現状こうなっていて,新しい手口はこうだという部分を,ぜひ知っていただければと思います。

4Gamer:
 お忙しい中,本日はありがとうございました。


 オンラインゲームセキュリティのプロである天野氏の指摘には,実に有益な見解が多い。オンラインゲームパブリッシャでの勤務経験を持つ彼だけに,勘所を押さえている,と評すべきなのかもしれない。とくに不正アクセスへの対処にかかる予測不能な(しかし結局は生ずる)出費を抑えること,ゲームのサービス規模に見合ったセキュリティ費用を見積もることといった,実践的な論点は,来場するゲームパブリッシャにとって,かなり役立つものだろう。

 後半の,不正アクセス損害をめぐる信販会社とパブリッシャの綱引きも,なかなか耳にすることのない話だと思うが,実は深刻なものだ。1件の不正アクセスの陰で何人が泣いているかと思うと,個人レベルでのセキュリティの大切さを,あらためて実感させられる。
 コストの話題が核だけに,本番で示される資料こそ楽しみなこの講演は,3月14日の第4講,会場Cで2:00PMから2:45PMにかけて行われる。楽しみにしていてほしい。
  • この記事のURL:
4Gamer.net最新情報
プラットフォーム別新着記事
総合新着記事
企画記事
スペシャルコンテンツ
注目記事ランキング
集計:11月28日〜11月29日