導入事例紹介

Webセキュリティの社内体制や脆弱性情報の入手はどのように対応していましたか？

私たちとしても社内にセキュリティ専任者を置き、IPAの発信する情報のチェックをはじめ、脆弱性情報に対するアンテナを張り巡らせて、いち早くキャッチできるように心がけています。しかし、情報量は非常に多く、一社だけではアンテナの範囲が十分とは言えないため、SSTを中心とするセキュリティベンダーと弊社で、エンジニア向けの勉強会を共催するなどして、アンテナを広げるようにしています。Scutumを提案したのも、採用実績があったことに加えて、SSTのエンジニアと以前より交流があり、開発者を知っていたことがきっかけでした。

セキュリティ対策を強化する必要性は、社内でも共通認識として上がっていました。昨年、その対策についてFusic様へ打診し、脆弱性診断など複数の手法を提案いただきました。その対策の一つとしてWAFがあり、コストや導入障壁などを勘案したうえで、最適なWAFとしてScutumを提示いただきました。

提案から導入までの期間が、非常に短かったと伺いましたが、その理由は？

非常に早く動けたのには理由がありました。提案をいただいた直後に、他社のECサイトで脆弱性を突いた情報漏えいの被害が明るみに出たのです。そのような事例があったため「もし対策が後手になれば同じような事態に陥る可能性がある」という認識を、すぐに共有できたように思います。そもそも、Scutumはセキュリティの度合いも、弊社の求めるレベルに合致していました。提案時に「Scutumを導入することで必要十分なセキュリティレベルは担保できる」という解説をいただき、そのセキュリティレベルに対する費用対効果のバランスも良かったため、上司や経営陣への説明もしやすかったです。WAFについては、あらかじめScutumに絞り込んだ提案をいただいたことで、他のWAFとの比較する時間も省けたと思います。

導入して変化したことはありましたでしょうか？

導入前は、Webサイトへの大きな脅威となる脆弱性情報があった際に、シャボン玉石けん様のサイトへの”影響がないことを検証する必要”に対する心理的な負担がありました。Scutumを導入した後は、WAF側で主要な脆弱性に対応してくれて、しかも対応が早いため、「検証中に脆弱性の被害を受けてしまったら…」という不安は非常に小さくなりました。また、攻撃が可視化されて、数値が見られるようになれば、過去と比較できます。それによって必要な対策も見えてくるでしょうし、私たちとしても、サイトの運営者としてもWebセキュリティに対する意識は高まってくると思います。

弊社としては、セキュリティの重要性は認識しているものの、自社で専任者を置くほどのリソースを割くのは難しいのが現状です。そのうえで、Fusic様にWebセキュリティについても任せておける、その根拠になっているのがScutumであり、私たちも安心できています。Webセキュリティを特別に意識しなくても、安心でいられるのが理想の状態だと思っていますが、Scutumを導入したことで、その状態になったと感じています。