ご利用事例~オットージャパン株式会社様

オンラインショップ「オットー・オンラインショップ」、カタログ通販、実店舗など多彩なチャネルを通じ、洗練されたインターナショナルファッションを日本の女性へ届け続けている、女性向けオンラインダイレクトマーケティング企業「オットージャパン」。

今後の売上シェア拡大が期待されているインターネット通販事業において、セキュリティに対する要求も大きくなりつつある。オンラインショップ「オットー・オンラインショップ」に求められる厳しいセキュリティを実現するべく、アプライアンス型のWAFから移行して、クラウド型(SaaS型)WAF「Scutum」を導入した経緯などを伺った。

オットージャパン株式会社様 WAF導入事例

アプライアンス型WAFからSaaS型WAFへの移行

WAFの導入経緯をお聞かせください。

「オットージャパン」でWAFを導入したのは2006年9月。かなり早い時期だったと思います。アプライアンス型のWAFを採用し、WAFの運用は、外部のサポート窓口へ対応を依頼して、社内で運用を行っていました。海外製のWAFだったこともあり、サポート窓口を経由してメーカーへ上申する必要から、迅速なサポートがあるとはなかなか言えない状態でした。実際には社内で細かな運用までは手が回っていなかったのです。ですから「WAFの運用は、専門家でないと難しい」との印象が強かったですね。

「Scutum」はどのような理由で採用されたのでしょうか?

オットージャパン株式会社
情報システム部
長谷川 様

契約中のWAFの更新期限が迫ってきていたこともあり、新たな、自社に最適なセキュリティはないか、日頃から情報収集を行っていました。そこで、購読中のRSSフィードの一つからSST社で行われているセミナーの告知が目に留まり、参加したのが「Scutum」を知ったきっかけです。SaaS型WAFがあることも、そこで初めて知りました。
同時期にクラウドサーバへの移行する話も進行している最中でしたので、クラウド環境でのセキュリティにも対応できる点が、「Scutum」を選定する上での大きなポイントになりました。また、費用対効果や導入が短期間で済むことなどもポイントとしてあげられます。現場としては、運用主体のSST社と直接やりとりできるため、運用を任せるにも、従来より安心感が高まりました。

クラウド移行のエピソードをお聞かせください。

クラウド移行時は、「Scutum」を導入しておいたおかげで非常にスムーズでした。本来ならデータセンターのリプレイスに伴って、WAFの設定も、DNSの変更などさまざまな移行が発生するはずでしたが、移行先のIPアドレスを「Scutum」の管理画面に入力して、クリック一つで済んでしまいました。あれは楽でしたね(笑)。

脆弱性をゼロへ近づけるために「Scutum」を導入

社内でセキュリティを専任に担当している方はいますか?

各々が抱える仕事のなかで、セキュリティに関する部分があり、それを各担当者でチェックや対策を講じている、という感じですね。少人数で運営しており、専門ではもちろん、兼任での「セキュリティ担当」もなかなか置くことができないのが実情です。ただ、当社において、セキュリティ対策とその運用の重要性は非常に大きいと認識しています。

セキュリティ対策はどのように行われているのでしょうか。

私が担当する仕事でも、過去の経験を踏まえて自身でセキュリティチェックを行ったり、外部機関への脆弱性検査を依頼したりしていますね。外部に公開するものに対しては、常にセキュリティ対策がつきまといます。「それぞれの仕事や開発案件ごとに、常にセキュリティに対する意識は働かせていなければならない」と言うのが、現状を言い表しているのではないかと思います。

セキュリティへの意識はいかがでしょうか。

WAFの導入が早くから行われていたことも含め、上から言われるまでもなく「セキュリティ対策や対応は、常に行うべきもの」「脆弱性は常に発生しうるもの」が共通意識として培われているように感じます。そもそも、ヒューマンエラーなども含めた、脆弱性がゼロにできるのであればいいですが、現実にはそれは不可能です。WAFは、脆弱性をゼロに近づけるための対策の一つとして考えています。

セキュリティの「相談相手」

脆弱性対策用の情報収集・共有方法について教えてください。

セキュリティについての情報共有として、勉強会を行っています。個人単位で収集している情報やトレンドだけでは限界がありますから、頻度は低いですが、例えばSQLインジェクションによる攻撃手法などについてなど、最新情報の情報交換は欠かせませんね。特に私たちが担当しているEコマースは外部に公開されたサーバが対象のため、他の部署よりも意識しているのではないかと思います。

セキュリティについて相談するような場はありますか?

他社の担当者がどういう情報を集めているか、どのような対策を実施しているかは気になりますが、お互いに公開できる情報が限られてしまう気がして、なかなか、外部の方と相談をするのは難しいように思います。ただ、Webから得られた情報を精査したり、信頼性をチェックする意味で、客観的な立場で相談できる相手はとても欲しいですね。「Scutum」の担当者には、その難しい部分を相談できたり、旬のセキュリティ情報を提供してくれたり、実際の対策として「Scutum」へ反映してくれたりしてもらっているので、助かっています。

■ オットージャパン株式会社様 ご紹介

オットージャパン株式会社様

ドイツの通信販売会社オットーグループの100%子会社。1986年に「住商オットーメールオーダー株式会社」としてカタログ通販をスタートし、オンラインでの通信販売は2001年1月から展開。現在は大人のエレガント薫るインターナショナルモード『Otto』と仕事もプライベートもおしゃれを楽しむ女性たちへ『FABIA』の2ブランドを展開している。
個人向け通販以外にも、法人向けの通販ビジネス総合支援も行っており、ECサイトのプロデュースからカスタマーサービスの提供、流通システム、顧客データベース管理などを個別に提供するほか、統合した通販プラットホームとしての提供も行っている。

オットージャパン
http://www.otto-online.jp/