導入事例紹介

内部統制・情報セキュリティチームという担当部署があるところから、セキュリティに力を入れているように感じられましたが、社内の体制はどのような形でしょうか？

現在の体制になったのはいつごろからでしょうか？

現在のルール・規定に替えたのは、2012年になります。内部統制推進部としては、全社的に見るとセキュリティレベルは高めだとは思っていますが、約50の部署があるため、どうしてもそれぞれの対策には差があります。そのレベルを一定に保った上で、同じレベル以上に引き上げていかなければならないと考えています。そこが、事務局として一番頭を使っているところです。

WAFの導入・選定に際して、特に重視した点はどこでしたか？

まず前提としたのが、クラウドへの対応です。その条件を満たしたサービス・製品を複数テストした結果、もっともニーズに合っていたのがScutumでした。テスト中に気になったのが、Scutum以外のWAFは、ログや管理画面メニューが英語だったことです。英語の表示だと、どのような脆弱性が生じているのか、パッとは分からなかったり、メニューを不用意に触ってしまいサイトの稼働に影響を与えてしまう不安がありました。

また、現場から私たちの部署に問い合わせが上がってきたときにも、WAFのサポートに問い合わせる前に、英語のログを読み解くひと手間が生じてしまいます。緊急時にはその余裕もないので、現場と私たちの負担を軽減するためにも、メニューが日本語のほうが良いという判断をしました。Scutumは元々日本語で開発され、サポートへの問い合わせ時にも、余計なひと手間が生じません。

そのほかには、どんな点がプラス要因になったのでしょうか？

WAFの機能へのチューニングがほとんど必要ない点も、選定の要因になりました。WAFを導入するサイトが多数あるため、個々のサイトごとにチューニングをするよりも、ある程度均一化されたセキュリティが担保できるほうが良いと考えました。その点では、「導入実績NO.1」というのも安心材料になりました。いずれも、現場に運用負荷がかからないもの、との視点でScutumを選びました。

WAF導入後、現場からの反応はいかがでしたか？

テストを経て導入したあとは、心配していた誤検知はありません。私のほうでScutumのログをチェックし、攻撃の傾向や数をグラフに集計して、各サイトの担当者に定期的に送っています。現場のほうもWAFによって攻撃数を可視化するまで、こんなにたくさんの攻撃を受けていることに気付いていなかったようです。

WAFに関連するセキュリティのガイドラインなどはありますか？

2015年10月には、Webセキュリティガイドラインを策定しました。それまではWAFの導入はサイトごとの裁量に任せられていましたが、サイトの重要度に応じたWAF導入ルールも含めたガイドラインにしました。また、従来はセキュリティ診断の結果に基づいた修正や改修も、各部署や依頼先のベンダーに対応してもらっていました。しかし、社内での一定基準がなかったため、対策がイタチごっこになることもありました。その問題を解消するためにも、セキュリティに関する基準策定が求められていたのです。

その制定も、内部統制推進部が担当されましたか？

「Webセキュリティガイドライン」の制定については、社内で個人情報や機密情報の管理を担当している情報管理事務局としての内部統制推進部が担当し、WAF導入に関するレベル分けについても行いました。

ガイドラインではレベルをA～Cの3つに分け、AはWAF導入が必須のサイト、Bは必須要件ではないものの積極的に推奨する、というルールにしています。ガイドライン策定以前から、対外的に重要なサイトにはWAFを導入していましたが、ガイドラインを設定することで、より多くのサイトでWAFを導入するようにしました。

ガイドラインの制定は、内部統制推進の一環でしょうか？

「ガイドラインを作ってほしい」という声は、実は現場から上がって来たものです。セキュリティ診断後の改修時に、一定の基準が必要ということで。私たちの部署ではサイトを管理していないため、現場の声が分からなかったんですね。その現場の声に応える形でガイドラインは生まれました。