導入事例紹介

サーバをクラウド化した、最大の理由は何だったのでしょうか？

在庫管理方法の変化とは、どのようなことでしょうか？

分かりやすくいうと、従来は商品を自社専用の預かり在庫として確保していました。そのため、在庫数100の商品が、セール時に10しか売れなかったとしても、残りは90ありますので、セールのピークを過ぎてからも販売できたのです。しかし現在は、メーカー側の倉庫に、他のEC各社と共有で在庫を持つ形が主流になっています。各社で同じ在庫商品を取りに来るため、もし当社で売れなかった場合でも、在庫は他社経由で売れてしまいます。つまり、売り時を逃してしまうと、売ろうにも在庫がなくなってしまうのです。

アクセス増加で、セキュリティ対策の負担も高まるかと思いますが、その点の対策は？

私を含めて、自社のEC開発に携わっているのは8人いまして、担当者ごとにセキュリティを意識した開発はしっかり行っていますが、セキュリティを見ているのは一部の少数のスタッフという状況です。そのため、インシデントへの対策を楽にし、管理を一切しなくてすむようにしたいと考えていました。以前WAFの候補を調査した際に、Scutumが「防御のメンテナンスに手を掛けなくてもいいWAF」という特長を持つことは知っていました。今回のAWS移行にあたって、CDNとScutum双方の特性をよく知るアクセリア株式会社様からのご提案で、導入を決定しました。そのほかに求めていた点は、コストパフォーマンスですね。サーバやその周辺を含めたトータルのインフラ費用を、従来の環境と同じ程度に抑えたかったので。その点についても、Scutumを選んだことで実現できたと思います。

ECサイトに求められるセキュリティという観点から、もっとも大きなリスクは何かと考えられていますか？

やはり個人情報です。決済情報や個人を特定する情報はもちろん、購買データからはその方の好みだったり、体形なども分かってしまいます。他社のECサイトやECモールでインシデントが発生したときには、洋服を購入される個人のお客さまではなく、洋服を卸しているショップやメーカー様から「他社さんでこういうインシデントがあったけど、御社は対応されていますか？」という問い合わせは絶対ありますね。その際には、WAF導入や脆弱性診断の実績を説明しています。

WAFに対する認知も高まっているでしょうか。

特に1年〜2年ほど前には、他社のECモールなどでインシデントに関する報道を耳にすることが多かったように思います。今は、どこのECでもある程度のセキュリティ対策は講じているのが当たり前になりましたので、WAF導入は前提という認識も広がっていると感じています。

今後のScutumに求めるものは？

柔軟性です。今でも十分柔軟性があるとは思うのですが、例えば一時的なキャンペーンのために別のFQDNで立てたサーバでScutumを利用するときなど、WEB上で申し込みと導入が完了できるようになれば、WAFを通さずに稼働するサイトがなくせます。新しいFQDNでサイトを立ち上げたときに、Scutumのコンソール画面からコマンド一つでサイトを追加する・解除するといった設定ができるようになるとありがたいですね。

当然セキュリティは意識して担保できるように最大限の努力はしていますが、「WAFを通さないコネクションはゼロにする」という理想が実現できれば、安心感が今以上に高まると思います。