導入事例紹介
株式会社シェアホルダーズ・リレーションサービス様にて運営されている、株主優待サービスサイト「グッぴー」へのクラウド型WAF「Scutum」導入事例。
株式会社シェアホルダーズ・リレーションサービス様
個人投資家が株式投資先を決めるうえで、大きな指標の1つとなっているのが「株主優待」だ。魅力ある株主優待は株価にも影響を与えることから、その工夫に力を注ぐ企業も増えているという。株式会社シェアホルダーズ・リレーションサービス(以下、SRS)が提供する株主優待サービス「グッぴー」は、株主優待に関する業務の効率化および株主へのサービス・満足度向上を実現するものとして注目を集めている。定期的に、かつ期間限定で公開される株主優待サイトにScutumを導入した経緯と理由について、お話を伺った。
| 規模 | セキュリティ担当者 | 業種 | 導入対象 |
|---|---|---|---|
| - | - | その他 | サービスサイト |
| 課題 |
|
|---|---|
| 決め手 |
|
【写真左から ※】
株式会社シェアホルダーズ・
リレーションサービス
取締役 企画部長
田川 登 様
企画部 システムエンジニア
遠藤 直人 様
「短期間」かつ「期間限定」、「個人情報」を扱う株主優待サービスサイト
まずは「グッぴー」の概略をお聞かせください。
優待内容の企画立案から、システム提供、商品の受発注などの事務処理、アンケート収集、株主からの問い合わせ対応までをワンストップで行う、株主優待のアウトソーシングサービスです。株式の保有数や保有期間に応じ株主にポイントを付与するシステムで、付与されたポイントを「グッぴー」のマイページから優待商品や他のサービスに交換できます。一般消費者向けのサービスや製品を扱う企業では、自社商品を株主優待品にすることが多いのですが、いわゆるB to B企業ですと株主に提供できる自社商品がない場合もあり、そのような企業には優待商品の提供も行っています。
株主優待の導入企業は年々増加傾向にあり、いまでは上場企業の3割以上で導入されています。企業間等での株式の持ち合いが解消されつつあるなかで、安定株主の増加を図りたい企業に対し、個人株主と長期的なリレーションを形成する方法の1つとして、「グッぴー」による“株主優待サービス”の向上を提案しています。「グッぴー」では株主優待品の提供・発送にまつわる業務のほか、「株主優待品で他社と差別化をしたい」という要望にも細かく対応しています。一般的に、株主となる個人の方は年齢層が高く、株主優待の申し込みは郵送が多いですが、将来的にはWeb経由での申込比率を高めていきたいと企業は考えており、今後はWeb経由で株主優待サービスを利用される企業・株主とも増えるものと見ています。
株主優待サービスサイトの特徴点はどのような点でしょうか?
優待の権利を持つ株主が確定した後、約2~3カ月後から株主優待の申し込み受付が始まります。「グッぴー」でもそれに合わせ、各社ごとに株主向けページを設けますが、開設期間は一般的に3カ月~4カ月です。また会社ごとに優待基準日は違いますので、開設する時期もまちまちになります。運用期間が短く、かつ期間限定である点、そして、個人株主の個人情報を多く扱っている点が、特徴といえると思います。
セキュリティ対策を費用対効果のみで考えて、導入を遅らせるのは本末転倒
クラウド型WAFのScutumを導入された経緯をお教えください。
住所と氏名をはじめ、株式保有に関する個人情報を預かるビジネスで、1社につき株主数が5万から20万を超える会社もありますから、サービス開始当初から個人情報の保護には気を遣っていました。WAF導入も早くから検討し、クライアント企業からの要請を受けて、2012年にScutumを導入したのが最初になります。アプライアンス型を導入するのは初期負担が大きすぎるということで、Webで調べた結果見つかったのがクラウド型(SaaS型)WAFのScutumでした。月単位で契約できることや、低価格という点はもちろん、現状の「グッぴー」のシステムを変えずにそのまま導入できること、さらに運用をお任せできる点が導入の大きな決め手でしたね。運用面では、アプライアンス型の場合社内にWAF運用スタッフが何人か必要になると考えていましたが、Scutumの場合それが不要になるとのことで、すぐ導入を決めました。
当時、WAFに対する印象どのようなものだったでしょうか?
サービス開始当初、採算面より「そこまでのセキュリティが必要なのか?」という雰囲気が社内にもあったのは確かです。しかし、セキュリティに関しては、投下予算に対する効果で考えるのは本末転倒であり、あのタイミングでWAFを導入する決断ができて、よかったと思っています。いまではセキュリティに予算を投じられるようになり、世間の空気もそれを後押しするものになりました。万が一WAFを導入せずにおいて、漏えいが発生してしまったら「なぜ対策をしていなかったのか」といわれるのは間違いありませんからね。
今後の利用形態などについて
社内でScutumに充てるリソースはどの程度でしょうか?
具体的には導入前のWAF機能テストやScutum管理画面の防御ログの確認、SSTから提出してもらっているレポートをもとに、新しい脆弱性への対応状況を確認する程度ですね。私一人でも運用可能だと思います。
現在「グッぴー」の、株主優待サービスサイトは全社分Scutumを導入しています。今後構築する「グッぴー」のサイトでは、WAFの導入を必須にする予定です。1FQDNから全サイトへ導入数を増やすときに、他社製WAFと、再度比較検討を行いましたが、導入面・運用実績面で優れたScutumを選びました。また、国産サービスという点も安心できる要素ですね。ヘルプや機能解説が英語ですと、いざというときの対処も遅れてしまいますから。
個人情報漏えいについて、WAF以外にどのような対策を行っていますか?
セキュリティに関する動向や最新情報は、JVN(Japan Vulnerability Notes)を毎朝チェックして、「グッぴー」に関連する脆弱性等のニュースがあれば、社内に共有するようにしています。
プログラムに関しては、脆弱性を意識したコーディングはもちろんのこと、定期的にWebアプリケーション脆弱性診断を実施し、結果をフィードバックしています。
システム的にはネットワーク構築時にIDS/ADSを採用し、外部からの攻撃に対するセキュリティ対策としています。本構成にScutumを導入したことで、より強固なセキュリティになったと感じています。
システム的な情報漏えい対策のほかには、プライバシーマーク取得をはじめとする、情報漏えいを防ぐ社内の仕組みづくりに力を注いでいきたいと考えています。情報漏えいの原因は、外部からの攻撃によるものばかりではありません。ヒューマンエラーや運用ルール違反によって起こる情報漏えいもたくさんあります。そのような人的なエラーがあったとしても漏えいが起こらないような手順にしたり、社員全体のセキュリティ教育を充実するといったことが、具体的な施策になるかと思います。
■ 株式会社シェアホルダーズ・リレーションサービス様 ご紹介
ITシステム開発の株式会社NSDの事業企画部門を母体として、2007年に発足。NSDの開発した「インターネットを利用した株主優待ポイントサービス」を「グッぴー」として商品化し、30以上の上場企業に提供している。IT分野からIR(投資家向け広報)サービスへの技術革新を企業方針とし、個人株主向けIRに特化したソリューションおよびサービスとして「グッぴー」への注目は高まっている。