ご利用事例~タワーレコード株式会社様

コーポレートカラーのイエローの上に、赤い文字で記されたコーポレート・ボイス「NO MUSIC, NO LIFE.」。音楽文化を担う”メガショップ”の代名詞とも言える「タワーレコード」。2012年には株式会社NTTドコモの子会社となったほか、2015年にはレコチョクとの戦略的業務提携も発表され、店舗販売に加えてオンライン販売、そしてスマホ・PCへのダウンロード販売にも積極的に展開を行っている。その中心的な役割を担う総合音楽ポータルサイト「タワーレコード オンライン」へScutumが導入された理由と、WAF導入の必要性がどこにあったのかを聞いた。

タワーレコード株式会社 ITサービス本部 情報システム1部 部長 小峰 隆由貴 様/ITサービス本部 情報システム1部 戦略情報システム 専任部長 望月 貴 様

【写真右から

タワーレコード株式会社
ITサービス本部 情報システム1部 部長
小峰 隆由貴 様

ITサービス本部 情報システム1部
戦略情報システム 専任部長
望月 貴 様

初めてのクラウド環境、初めてのWAF導入

WAF導入を検討された経緯をお教えください。

「タワーレコード オンライン」の売り上げは伸長を続け、総売り上げに対する割合も年々大きくなっています。アクセスの面においても、これまでのサーバ入れ替え時には5年程度の先を見据えたアクセス増に備えていましたが、前回の入れ替えから年月がたち、当時設定した基準値を超える数のアクセスが常態化していました。保守契約の切り替え時期に、そのような状況に対応するため、フロントサーバを、オンプレミスからクラウド環境への移行を行うことになり、その一環としてWAFの導入も検討が始まりました。

当社のメインサイトをクラウド環境で構築するのは、今回が初の試みで、なおかつWAF導入も初めてでした。「クラウド環境へ移行するのであれば、セキュリティを担保するものとしてWAFは必須」との認識は社内で一致していたため、サーバ切り替えのタイミングでScutumを導入することになりました。

WAF導入のもう1つの理由は、親会社のセキュリティ基準でした。そのセキュリティ基準に合わせたクラウドのテンプレートがドキュメント化されていて、それを元に環境構築を行うことにしました。親会社のセキュリティ要件は本来200項目以上にものぼるようですが、テンプレートに準拠して作ることでその確認作業が大幅に軽減されると考えたためです。そしてそのテンプレートにはWAFの導入が求められていたんです。

導入後に予想される2つのリスクを回避できたScutum

Scutumを採用したポイントはどのような点だったでしょうか?

インフラをサポートしてもらっているベンダーから、WAF製品・WAFサービスの候補を出してもらい、自ら調べたものを含めて6種類のWAFから選定し、最終的には2つまで絞込みました。1つはソフトウェア型のパッケージ製品で、もう1つがScutumでした。ソフトウェア型ですと、ランニングコストは抑えられますが、その反面、製品を把握したり、新たな脆弱性が見つかったときのパッチ作業など、運用にかかるコストがばかにならないと感じました。

セキュリティに関する世の中の動きは、以前にも増して早くなっています。自分たちで運用を行ったときに、そのスピードについて行けるかと言われると、自信がなかったですね。対策の頻度も読めませんし…。

もし社内でWAF専任のスタッフが必要になるのであれば、製品にかかるランニングコストが抑えられても、運用コストがそれを上回る可能性があります。Scutumは運用をすべて任せられて、短期間でも利用ができる料金体系だったため、多くの観点でソフトウェア型よりもリスクを小さくできました。クラウド環境へのWAF導入は初めてだったため、導入したのに思うように防御できない、正常なリクエストを頻繁に遮断するといった「入れたのに使えない、でも変えられない」というリスクは無くしたいと考えました。その点で、Scutumは目的にかなったものでした。

検知の「見える化」が、継続的な予算確保につながる

WAF導入後は、どのように利用されていますか?

Scutumを導入して、サイトの運用状況を見たところ問題なく、他のWAFに変える必要はなかったので安心しました。「タワーレコード オンライン」では、サイト全体で行うセールやポイントキャンペーンなどによってアクセスが増えますが、その期間中もScutumは誤検知を出さずに機能してくれています。

IPブロックの機能も、使いやすいですね。不正アクセスに対する対策として以前のIPブロックを行ったことがありますが、インフラベンダーに依頼して対応してもらっていました。Scutum導入後は管理画面から操作すればあっという間に反映できて、楽になりましたね。管理画面のUIも、マニュアルなしに使えていいですね。

セキュリティ製品の必要性に対する認識は、社内で一致していました。しかし、経営陣もセキュリティやWAFの詳細を理解しているわけではないので、効果を示すことが非常に難しい。ですが、管理画面で見られる防御ログを見たときに「使える」と思いましたね。これだけの件数の不正なアクセスを防御しています、と可視化できるのは、継続的に予算を確保していくうえでの説明材料としても使えると考えています。Scutumを導入してから、現場で「WAF」という単語がそのまま通じるようになったのは、可視化による影響の1つだと思います。

■ タワーレコード株式会社様 ご紹介

タワーレコード株式会社様

1979年に米・タワーレコードの事業部として日本に進出し、輸入レコードの卸売り事業をスタート。1981年には渋谷店がオープン。広大なフロアで圧倒的な品ぞろえを展開するメガショップの先駆けとなる。現在は全国に84店舗を構えるほか、2002年にリニューアルした総合音楽ポータルサイト「TOWER RECORDS ONLINE/タワーレコード オンライン」では、時代の変化に合わせた販売チャネルを通じて、多くの音楽ファンに最新の音楽と音楽情報を提供している。

タワーレコード株式会社
http://tower.jp/