ご利用事例~株式会社シンクロ・フード様

飲食店を出店する開業者や運営者を支援するサイト「飲食店.COM」、店舗の開業・改装を支援する「店舗デザイン.COM」、オープニングスタッフを中心とした飲食店の人材採用情報サイト「求人@飲食店.com」などを運営し、飲食に関わるあらゆる顧客を融合させ、新たな付加価値を生み出している株式会社シンクロ・フードでは、運営する9サイトすべてに、クラウド型(SaaS型)WAFサービス「Scutum」を導入している。

自社で脆弱性チェックを定期的に行うなど、以前からセキュリティ対策には力を入れていたと語る同社に、Scutumの導入経緯および選定の基準などを伺った。

株式会社シンクロ・フード 執行役員 大久保 俊 氏/越森 雄亮 氏

【写真右から

株式会社シンクロ・フード
執行役員
大久保 俊 様

越森 雄亮 様

自社での診断に加えて、第三者による脆弱性チェックも行う体制

Web開発におけるセキュリティチェック体制についてお教えください。

セキュリティチェックについては、高いレベルで対策を行う方針で、社内の開発者全員が脆弱性診断ソフトを使い、その研修も受講して自社リソースで検査を行っています。この社内における動的診断に加えて、必ず第三者の視点からチェックを行っています。年に一度、定期的に外部へ脆弱性診断を依頼しており、その診断依頼先の一つがSSTでした。それを接点として、「Scutum」を紹介されたのが今回の導入のきっかけです。セキュリティに関しては、特別に担当を設けているわけではありませんが、私とWebアプリケーションの開発担当の越森の二人を中心に、社内で話し合いながらセキュリティに関するルールを策定しています。

セキュリティに対してそのような意識を持つようになったきっかけは?

情報セキュリティマネジメントシステム(ISMS)を取得した2007年ごろから、セキュリティへの意識は高くなったように思います。その段階からもセキュリティ対策には力を入れていましたが、2012年に自社サイトが攻撃を受けたことをきっかけとして、情報セキュリティを最優先事項として取り組むようになりました。とはいえ、セキュリティを強固にしすぎると、ユーザーの利便性を損なうため、SQLインジェクションやXSSなどの脆弱性を「最低限、絶対に守るもの」と規定しています。

「一度漏れたら取り返しがつかない」ものを守るために

WAFを導入された理由は、どのようなものだったのでしょうか。

Webチャネルでビジネスをしているわれわれのような会社では「セキュリティは一度漏れたら取り返しがつかない」との考えに基づき、前述のような自社でチェックできるスキルと体制を設けています。提供している飲食店様向けのサービスでも、お店の情報以外に、求職者の個人情報なども扱っていますので、特にその点はしっかりと守らないとなりません。しかし、それにかかる負担が大きいのも事実です。そこで、さらなる防護としてWAFを使いたいと社内へ提案し比較した結果、大手企業でも採用されている「Scutum」を選びました。AWSへ移行を進めているなかで、そのコンサル会社へセキュリティの相談をしたときにも「Scutum」を勧める声を聞きました。その評判の良さも参考になりましたね。

WAFを比較する際にポイントとなった点はありましたか?

徳丸浩氏の書籍(*1)をきっかけに、金床氏の著書『ウェブアプリケーションセキュリティ』のことを知っていたんです。「Scutum」を選ぶ際に「あの金床氏が開発したWAFなら、安心度が高い」と信頼をおけたのも、選択理由の一つですね。導入後の、運用の負荷もまったくかからず、その点は期待通りといえます。「Scutum」を導入したことによる、ヒューマンリソースの負荷はほぼなかったですね。攻撃などに対するチェック機能も想定通りに働いてくれました。

エンジニアはセキュリティをわかったうえで開発する必要がある

セキュリティの知識や情報をどう探していらっしゃいますか?

私は情報系の大学出身で、ファイヤーウォールの必要性をはじめセキュリティ対策は身近なことだったせいもあり、個人的にもそういった知識は自然と身についていたように思います。情報収集先としては、いち早く脆弱性を見つけるのは個人であることが多いので、そういった方々の動向をチェックするなどはしています。

社内の教育やルール作りについての、今後の課題は?

社内のスタッフの人数も増えているため、社内統制やセキュリティを保つための教育や対策、そしてアクセスできる人員や権限をしっかりコントロールする体制とルールを、しっかり構築しなければならないと考えています。教育についても、積極的にセミナーに参加したいと思っています。やはり、エンジニア自身にとってセキュリティは「わかってなければならない」もので、その知識を持ったうえで、脆弱性を作り込まない設計をするスキルが、今後はより一層求められるものになるでしょう。全エンジニアが脆弱性チェックソフトを使えるようにしているのは、その教育の一環でもあります。

「Scutum」に対する要望がありましたらお聞かせください。

現在、Webで提供しているサービスのスマホアプリ版を開発中で、APIの応答速度が数百ミリ秒遅れるだけでも、操作感がかなり変わってしまいます。普通に使う分には問題ないレベルの差ではありますが、「Scutum」を通した際の、APIの応答速度が速くなるとうれしいですね。

■ 株式会社シンクロ・フード様 ご紹介

株式会社シンクロ・フード様

2003年(平成15年)に設立。同年9月に飲食店の出店開業・運営支援サイト「飲食店.COM」を開設。飲食店の出店開業・運営支援、関連業者とのマッチング支援、求人情報、オープン情報、店舗やオフィスのデザイン会社、インテリアデザイン会社、居抜き物件情報、原状回復・解体工事の見積比較など、飲食店運営におけるさまざまな業務のサポート・マッチング支援サービスを次々と開設。「食の世界になくてはならない企業」を目指した事業展開を行っている。

株式会社シンクロ・フード 公式サイト
http://www.synchro-food.co.jp/