ご利用事例~スカパーJSAT株式会社様

CS放送サービス「スカパー」を提供するスカパーJSAT株式会社は、日本で唯一の衛星通信事業者だ。2016年からクラウド型WAF Scutumを導入し、現在では同社が運営するコーポレートサイト、「スカパー」の一部チャンネルやグループ会社のWebサイトなど10のサイトで利用している。2015年にはWebセキュリティガイドラインを制定し、グループ全体でのセキュリティ対策にも力を入れている企業だ。同社のセキュリティ体制のなかでの、Webサイトセキュリティの考え方、そして、Scutumの導入や役割について伺った。

スカパーJSAT株式会社 経営管理部門 経営戦略本部 内部統制推進部 専任部長 黒田誠 様 内部統制推進部 内部統制・情報セキュリティチーム アシスタントマネージャー 柳下佳代子 様

【写真右から】
スカパーJSAT株式会社
経営管理部門 経営戦略本部
内部統制推進部 専任部長
黒田 誠 様

内部統制推進部
内部統制・情報セキュリティチーム
アシスタントマネージャー
柳下 佳代子 様

組織全体のセキュリティレベルを高める体制づくり

内部統制・情報セキュリティチームという担当部署があるところから、セキュリティに力を入れているように感じられましたが、社内の体制はどのような形でしょうか?

全社的なセキュリティ体制の話をしますと、情報統括管理責任者の下に事務局となる「内部統制推進部」があり、社内にある約50部署のすべてに、セキュリティ管理者と担当者を1人ずつ必ず配置しています。システムを持つ部署には、システム管理責任者を別に設けるとともに、各拠点(施設)にはまた別に施設管理責任者がいます。フロアごとには、プライバシーマーク認証に基づく安全管理措置のために、フロア安全管理責任者を置いています。また、ISMS(情報セキュリティマネジメントシステム)に準拠した形で、関連会社も含めて同様の体制を取っています。

現在の体制になったのはいつごろからでしょうか?

現在のルール・規定に替えたのは、2012年になります。内部統制推進部としては、全社的に見るとセキュリティレベルは高めだとは思っていますが、約50の部署があるため、どうしてもそれぞれの対策には差があります。そのレベルを一定に保った上で、同じレベル以上に引き上げていかなければならないと考えています。そこが、事務局として一番頭を使っているところです。

「現場の運用負荷をいかに低く抑えるか」を重視

WAFの導入・選定に際して、特に重視した点はどこでしたか?

まず前提としたのが、クラウドへの対応です。その条件を満たしたサービス・製品を複数テストした結果、もっともニーズに合っていたのがScutumでした。テスト中に気になったのが、Scutum以外のWAFは、ログや管理画面メニューが英語だったことです。英語の表示だと、どのような脆弱性が生じているのか、パッとは分からなかったり、メニューを不用意に触ってしまいサイトの稼働に影響を与えてしまう不安がありました。

また、現場から私たちの部署に問い合わせが上がってきたときにも、WAFのサポートに問い合わせる前に、英語のログを読み解くひと手間が生じてしまいます。緊急時にはその余裕もないので、現場と私たちの負担を軽減するためにも、メニューが日本語のほうが良いという判断をしました。Scutumは元々日本語で開発され、サポートへの問い合わせ時にも、余計なひと手間が生じません。

そのほかには、どんな点がプラス要因になったのでしょうか?

WAFの機能へのチューニングがほとんど必要ない点も、選定の要因になりました。WAFを導入するサイトが多数あるため、個々のサイトごとにチューニングをするよりも、ある程度均一化されたセキュリティが担保できるほうが良いと考えました。その点では、「導入実績NO.1」というのも安心材料になりました。いずれも、現場に運用負荷がかからないもの、との視点でScutumを選びました。

WAF導入後、現場からの反応はいかがでしたか?

テストを経て導入したあとは、心配していた誤検知はありません。私のほうでScutumのログをチェックし、攻撃の傾向や数をグラフに集計して、各サイトの担当者に定期的に送っています。現場のほうもWAFによって攻撃数を可視化するまで、こんなにたくさんの攻撃を受けていることに気付いていなかったようです。

現場の声から生まれた、WAFに関するWebセキュリティガイドライン

WAFに関連するセキュリティのガイドラインなどはありますか?

2015年10月には、Webセキュリティガイドラインを策定しました。それまではWAFの導入はサイトごとの裁量に任せられていましたが、サイトの重要度に応じたWAF導入ルールも含めたガイドラインにしました。また、従来はセキュリティ診断の結果に基づいた修正や改修も、各部署や依頼先のベンダーに対応してもらっていました。しかし、社内での一定基準がなかったため、対策がイタチごっこになることもありました。その問題を解消するためにも、セキュリティに関する基準策定が求められていたのです。

その制定も、内部統制推進部が担当されましたか?

「Webセキュリティガイドライン」の制定については、社内で個人情報や機密情報の管理を担当している情報管理事務局としての内部統制推進部が担当し、WAF導入に関するレベル分けについても行いました。

ガイドラインではレベルをA~Cの3つに分け、AはWAF導入が必須のサイト、Bは必須要件ではないものの積極的に推奨する、というルールにしています。ガイドライン策定以前から、対外的に重要なサイトにはWAFを導入していましたが、ガイドラインを設定することで、より多くのサイトでWAFを導入するようにしました。

ガイドラインの制定は、内部統制推進の一環でしょうか?

「ガイドラインを作ってほしい」という声は、実は現場から上がって来たものです。セキュリティ診断後の改修時に、一定の基準が必要ということで。私たちの部署ではサイトを管理していないため、現場の声が分からなかったんですね。その現場の声に応える形でガイドラインは生まれました。

■ スカパーJSAT株式会社様 ご紹介

スカパーJSAT株式会社様

1985(昭和60)年に日本で初めてとなる民間による衛星通信事業を、1992(平成4)年には日本初の受託衛星放送サービス(CSアナログテレビサービス)を開始するなど、日本における衛星通信と衛星放送の歴史を刻み続ける。現在は、持ち株会社の株式会社スカパーJSATホールディングスがグループ戦略の統括を、事業会社であるスカパーJSAT株式会社が「スカパー」等のメディア事業、および宇宙・衛星事業を行っている。

スカパーJSAT株式会社
http://www.sptvjsat.com/