導入事例紹介
「ITスマートメディアカンパニー」を目指している株式会社ニッポン放送様にて、運営されているWebサイトへのクラウド型WAF「Scutum」導入事例。
株式会社ニッポン放送様
2010年からサービスが始まったIPサイマル放送「radiko」の普及により、Webとの親和性の高さが注目され、いまラジオ放送は新たな展開を迎えている。日本全国へのラジオ放送網「全国ラジオネットワーク」のキー局のひとつで、1954年の開局から62年を迎えるニッポン放送は、「ラジオ“も”やってるニッポン放送」をキャッチフレーズに、「ITスマートメディアカンパニー」を目指している。そのニッポン放送が運営するWebサイトでは、Scutumが導入されている。ラジオ局におけるWebの役割と、そのセキュリティとしてScutumを選んだ理由を伺った。
| 規模 | セキュリティ担当者 | 業種 | 導入対象 |
|---|---|---|---|
| 101〜500名 | - | メディア | オフィシャルサイト |
| 決め手 |
|
|---|---|
| 効果 |
|
【写真右から ※】
株式会社ニッポン放送
編成局 広報室長
清原 美樹 様
株式会社フジミック
デジタル・コミュニケーションセンター
ネットワーク技術部 マネージャー
佐藤 祐浩 様
「次に予算をかけて入れるべきは、WAFだ」という認識は共通していた
Scutum導入の経緯をお聞かせください。
現在は広報室の所属ですが、Scutumの導入前後は、全社的にセキュリティを担当する総務局に所属していました。WAFの導入提案は、当社のネットワークインフラを担当しているフジサンケイグループのSIerであるフジミックさんからいただいていました。2013年に提案いただいた際には、設備計画のなかで他に予算を割く必要があったのと、当時はそこまで脅威を感じていなかったために見送ったんです。しかし、2016年の4月期から始まる予算の精査がスタートする2015年の12月ごろには、「そろそろWAFを導入しないと怖い」という意識に変化していました。もし予算が取れないのであれば、他の予算を削ってでも導入するべきと掛け合い、費用対効果を考慮しながら、社内的なコンセンサスをとりました。その結果、2016年の4月からScutumを導入することができました。
当初は4月に導入し、検知モードでしばらく運用して2カ月ほど様子を見てから、ブロックモードへ切り替えようと考えていました。ところが、導入直後に他社で漏えい被害が発覚した影響もあって、導入直後からブロックモードで運用をスタートしました。そのまま問題なく、複数のFQDNで運用しています。
ハードはなるべく持ちたくない。その方針にクラウド型WAFが合致
Scutum導入の決め手となった機能などはありましたか?
フジミックで担当している他の企業で、オンプレミス型のWAFを導入した経験がありました。そのときは、導入当初の検知ポリシーで弾かれるアクセスを1つ1つ確認して、「これは通してOK、これはNG」と判別する作業を2〜3カ月かけて行いましたね。この作業を、社内にエンジニアがいない企業で行うのは、ちょっと厳しいなと感じていました。
当社としては、社内の電話もクラウド化し、安否確認システムも外部のものを利用するなど、「なるべくハードウエアは持ちたくない」という方針があり、それはWAFについても同じでした。機材を持つと、必ず更新の問題が発生します。自分がずっと担当できるならばいいかもしれませんが、後任者にはその負荷がかかってしまいます。そこへクラウド型のScutumを紹介いただけたので、すんなりと話が前に進みました。
検知ポリシーの運用や更新を、全部Scutumにお任せできるのは助かりますね。費用はかかるものの、前述のような事前確認作業がなくなるだけでも、費用対効果は高いと思います。Scutumと同じレベルでポリシーを作り上げたり、新しい脅威の情報を追ってその都度対策をとったりするのは、社内に専門の担当者を置けない会社では、難しいでしょう。クラウド型だったのに加えて日本製のWAFサービスで、ローカライズが不要で迅速に対応できる点も大きいと思います。Scutumを導入した直後に見つかった、Apache Struts 2 の脆弱性(※)にも、すぐ対応してもらって助かりました。
※Apache Struts 2 の脆弱性(CVE-2016-3081)(S2-032)
細工した HTTPリクエストを送信し、Strutsアプリケーションを実行中のサーバ上で任意のコードが実行される危険度の高い脆弱性。Scutumでは4月27日に対応を行い、防御可能となっている。なお、IPAでは、2016年4月27日に、JPCERT/CCでは、2016年4月28日に注意喚起を掲載している。
IPA:https://www.ipa.go.jp/security/ciadr/vul/20160427-struts.html
JPCERT/CC:https://www.jpcert.or.jp/at/2016/at160020.html
Webの脆弱性対策は一段落。次は標的型攻撃への対策を
導入後、社内での反応にはどのような声があったのでしょうか?
Scutumが導入されて一番影響があったのは、社内のビジネス開発センターだったと思います。こちらの部署では、番組情報サイトに加えてトーク内容など番組と連動したコンテンツを配信する「しゃベル」や、アナウンサーをアイコンにしたカルチャー情報サイト「yoppy」の記事更新などを行っています。サイトで使用しているCMSのアップデートがままならない問題を抱えていました。
CMSはWordPressで、脆弱性への対策としてはアップデートを行うべきなのですが、運用しながら問題なくアップデートできるかを検証するのは大変です。Scutumを導入したことで、CMSを止めることなくリスクを軽減できました。一番よろこんでいましたね(笑)。
今後の対策として考えられていることはありますか?
ラジオを通じて生まれたコンテンツを、ラジオリスナー以外の方に知ってもらう場として、Webサイトの役割は今後ますます大きくなると考えています。Webのセキュリティ対策はScutumを導入したことで、やれるところまでやったかなと思います。次はPC端末側のセキュリティ対策として、さらに進めたいのが「標的型攻撃」への防御です。
標的型攻撃のメールは本当に送られてくるメールを精巧に装っているため、リテラシーの高い人でも見極めるのは難しく、仮に防護策をとったとしても誰かがメールを開いてしまうリスクはゼロにはなりません。
そう、誰かが絶対に開けると思っていますからね(笑)。怪しいメールを開かないように教育を進めるとともに、開けてしまうことを前提とした対策をとって行きたいと思っています。放送局は災害時の情報をはじめとした情報インフラの役割上、攻撃の標的になりやすく、サイト改ざんによる社会的な影響も小さくありませんからね。標的型攻撃に対しては防御壁を作るのではなく、社内での教育が重要だと考えています。現在は、広報室に異動してしまいましたが、後任とも連携して必ず全社員を対象に訓練を行うつもりです。
■ 株式会社ニッポン放送様 ご紹介
1954(昭和29)年4月に設立し、7月に本放送を開始。来年に50周年を迎える看板番組の「オールナイトニッポン」はラジオ深夜番組の代名詞とも言われる存在。2016年2月には株式会社グレイプを子会社化し、3月にWebサイト「しゃベル」開設。またカルチャー情報サイト「yoppy」ではクラウドファンディングによるラジオ機「Hint」制作プロジェクトを展開するなど、ラジオ以外のプラットホームからの情報発信を積極的に進めている。
「しゃベル」
http://www.1242.com/
「yoppy」
http://www.yoppy.tokyo/
「オールナイトニッポン」
http://www.allnightnippon.com/
下記事案は、本事例紹介の該当サイトに関するものではありません。
https://www.radital.jp/