導入事例紹介
インターネット総合サービス企業である株式会社サイバーエージェント様でのコーポレートサイトへのクラウド型WAF「Scutum」導入事例。
株式会社サイバーエージェント様
1998年創業のインターネット総合サービス企業である株式会社サイバーエージェント。セキュリティエンジニアの採用を積極的に行っているほか、リスク情報の一つとして「情報セキュリティに係るリスク」を明示するなど、Webセキュリティに対しても、積極的な取り組みを行っている企業だ。今年実施されたコーポレートサイトのリニューアルに際し、クラウド型(SaaS型)WAF「Scutum(スキュータム)」が採用された。動的サイトへのWAF導入が多い中、静的サイトへの導入となった今回の事例について、全社システム本部の担当者である西村氏へのインタビューを行った。
| 規模 | セキュリティ担当者 | 業種 | 導入対象 |
|---|---|---|---|
| - | - | メディア | コーポレートサイト |
| 課題 |
|
|---|---|
| 決め手 |
|
| 効果 |
|
AWSに対応するWAFと、改ざん検知を同時に導入
今回の導入はどのようなきっかけで行われたのでしょうか。
私の所属する「全社システム本部」では、社内のサーバやインフラ周りの管理、および全社で利用するアプリケーションの選定や管理を担当しています。コーポレートサイトのシステム管理も私たちの管轄で、そのリニューアルに合わせて、インフラを刷新し、AWS(Amazon Web Services)へと移行しました。AWSではトラフィックのセキュリティをポート単位でしかできないという制限があり、そこで、AWSに対応したWAFサービスが必要になりました。その要件に合致したのが、他部署のスタッフから紹介されたScutumでした。
株式会社サイバーエージェント
全社システム本部
西村 将嗣様
コーポレートサイトのコンテンツ更新にはCMSを使っています。これもWAFを導入する理由の一つでした。ユーザーの非常に多いWordPressほどではないにせよ、CMSを使っている以上、CMSが抱える脆弱性に起因する問題や攻撃はゼロにはできないと考えています。そのため、CMSの脆弱性によって発生するサイト改ざんやデータ盗難を未然に防ぐため、Scutumを採用しました。
WAF以外の対策は導入されていますか?
今回のリニューアルでは、SST社からの提案で、サイト改ざんチェックサービスのGRED(グレッド)も導入し、WAFによる防御と改ざん検知を合わせて行うようにしました。最近では、ニュースなどでサイト改ざんの被害が報道されるなど、ネット上の話題になることも多くなりましたから、人ごとではないとの気持ちは強かったですね。
コーポレートサイトに加え、採用サイトにもWAFを導入
コーポレートサイト以外で導入されたサイトはありましたか?
人材採用のシステムを別ドメインで運用しており、そこへもScutumを導入しています。学生をはじめ、数万人以上の応募者の詳しい個人情報を扱っており、その情報漏えいを予防するためです。
導入時のエピソードなどを教えてください。
紹介を受けた後、Scutumのセミナーで情報収集を行いました。それから導入が完了するまでは約3カ月でした。導入テスト時に問題が発生したものの、SST側でその対策方法はすでに持っていたため、すぐに解決できました。導入後も、正常なアクセスを妨げることなく、従前と変わらず運用できています。
社内ではセキュリティリスクをどう認識されているでしょうか。
数多くのユーザーの情報を扱っているサービスを運営している会社として、改ざん等へのリスクについては、重要視しています。その点は、社内全体で共通した認識だと感じていますね。今回、Scutumを導入することで、事例となる枠組みを構築できたので、社内でWebサイトのセキュリティについて相談されたときには、対策の一つとして勧めてみようと思います。
■ 株式会社サイバーエージェント様 ご紹介
会員数4,000万人を超える「Ameba」やトークライブアプリ「755」、定額制音楽配信アプリ「AWA」をはじめ、数多くのスマートフォン向けサービスを提供。同時に、国内ナンバーワンシェアを誇るインターネット広告企業でもある。2014年9月には東証一部に上場。インターネット分野における事業領域は多岐にわたり、ネットベンチャー企業の代表的存在となっている。