導入事例紹介
株式会社電通国際情報サービス(ISID)様が提供するASPサービス「DMAP」でのWAF導入事例。
個人情報取り扱いや金融サービスなど高度なセキュリティ対策が求められる中で短納期・低価格のサービスを実現するため、「スキュータム」を採用いただきました。
電通国際情報サービス様
日本最大の広告代理店「電通」のグループ内システムインテグレーターの役割を担う、株式会社電通国際情報サービス(以下「ISID」)。サービス提供先には金融機関等、より高度なセキュリティ対策を求められる業種も多い。その要求に応えるべくISIDでは、Webプロモーションに関わる一連の機能を、セキュリティを確保しつつ、短納期・低価格で提供するASPサービス「DMAP(Digital Marketing Platform)」において、WAF「Scutum(スキュータム)」を採用。「Scutum」選定理由に加えて、ISIDのビジネスにおけるセキュリティの位置付けを伺った。
規模 | セキュリティ担当者 | 業種 | 導入対象 |
---|---|---|---|
1,001~5,000名 | IT・通信 | その他 |
決め手 |
|
---|
本来必要なセキュリティはどの業種でも同じ
「DMAP」におけるセキュリティの位置付けをお聞かせください。
「DMAP」は個人情報保護法が一部施行された2004年にサービスインしました。グループで受注したキャンペーンサイトなどを運営するにあたり「信頼性の高いインフラ」と「セキュリティチェック済みのアプリケーション」を用い、安全の担保された環境を提供するのが目的で、当初からセキュリティを重視したサービスなのです。
セキュリティの要求レベルは、業種等によって異なるものでしょうか?
特に高いセキュリティを求められるのは、やはり金融機関や決済系のサービスです。監査証跡の保存要求は他と比べて非常に高くなります。ただ、サービスを構築する側の視点では、本来は、必要なセキュリティの度合いは金融機関や決済系のWebであろうと無かろうと、差は無いと考えています。また「セキュリティの手を抜いてもいいから、コストを下げる」というリクエストが仮にクライアントからあったとしても、ISIDのビジネスとして、その選択肢はありえません。
株式会社電通国際情報サービス
コミュニケーションIT事業部
プラットフォーム開発部
プロジェクトディレクター
松島 宏明 氏
今後、セキュリティ要求レベルは変化するでしょうか?
将来、セキュリティは「高い方」へ合わせられていくのではないかと思います。現在は、まだWAFを導入する必要が無いと認識されている金融機関等以外の業種でも、情報を蓄積する部分のあるサイトでは、WAF導入が当たり前になるかもしれませんね。
導入のポイントは「パッチ更新への対応」と「初期・運用のコスト」
「Scutum」導入の経緯はどのような必要から?
金融商品の販売サイトを「DMAP」上で構築する案件があった際に、セキュリティを強化する必要が生じました。そこでWAF導入を検討したのです。導入要件として第1に挙がったのは、サーバーにパッチを当てられることです。
「DMAP」ではフルパッチを定期的に当てるため、サーバー(ソフトウエア)型WAFはカーネルとの相性がネックとなり、選択肢から外れます。そうなるとプロキシ型WAFかアプライアンス型WAFのどちらかになりますが、アプライアンス型は設定の手間が煩雑で導入までのタイムラグが発生してしまいます。そこで、導入までの期間が短い「Scutum」を選びました。
コスト面での優位性はありましたか?
コストもポイントでした。WAFの初期導入作業と導入後の運用を社内リソースで行おうとすると、従来無かった作業が発生し追加コストになってしまいます。われわれもリソースが潤沢とは言えない上、WAFの運用を行うには教育が必要となります。その運用もコストなんです。「Scutum」ですと導入作業も日々の運用も任せられ、コスト削減につながります。コスト差で比較すると「Scutum」は他の半分程度でした。また、専門家に導入してもらえる安心感も大きかったですね。
導入後の変化について教えてください。
カーネルパッチ適用後のWAF動作確認に手間を取られたり、問題ないトランザクションも防いでしまったり、といった心配はありましたが、それもありませんでした。「WAFを導入したにもかかわらず、作業は増えなかった」という表現が一番的確なように思います。
「リポート機能」やセキュリティ情報の提供にも期待
「Scutum」に対するリクエストはありますか?
リポート機能の充実でしょうか。アクセスや外部からの攻撃が可視化されたリポートがあると、われわれも「こういうところを、防いでるんだ」と、実感できますしね。クライアントへも説明しやすくなります。セキュリティの要求レベルが上がるに連れて、その説明も求められるようになるのではないかと思います。また、Webアプリケーション攻撃の手法についての最新情報が欲しいですね。
そのような情報をどこから入手されていますか?
セキュリティベンダーのセミナーで知ることが多いです。ただ、なかなか積極的に時間を割くのは難しいものです。例えば「Scutum」の新規機能や新型の攻撃に対応したニュースと合わせて定期的に送られてくるとありがたいですね。もう一つ、知りたい情報に「セキュリティの検証」があります。クラウドの普及にも関連して、提供するWeb環境がどこまでセキュリティを担保できているか、という検証は非常に難しいものです。その検証情報の提供があると、とても有益ではないかと思います。
■ 株式会社電通国際情報サービス(ISID)様 ご紹介
1975年、単独の広告会社として世界1位の売上高を誇る株式会社電通とGeneral Electric Company(GE)との合弁により設立。日本民間では初となるTSS(タイムシェアリングサービス:コンピュータの共同利用)を開始する。コアコンピタンスを「お客様のITニーズに応えられる業務知識と最先端技術。そして、付加価値となるノウハウをソリューション・サービスとして創造し続ける組織集団力」と位置付け、金融、製品開発、ERP(企業資源計画)、グループ経営管理、HRM(人的資源管理)、マーケティング、IT基盤など、あらゆるビジネス領域で、フルラインメニューを提供し、顧客の課題解決を支援している。