@cosumeに登録されている個人情報の管理方法とは？

こんにちは、CyberSecurityTIMES編集部です。
「教えて！Webセキュリティ対策！」第3弾は株式会社アイスタイル様です。
みなさん株式会社アイスタイル（以下アイスタイル）のことはご存知ですか？
もしかしたらアイスタイルという言葉よりも「＠ｃｏｓｍｅ（アットコスメ）」の方が聞いたことがあるかもしれませんね。
「＠ｃｏｓｍｅ」はコスメ・美容の総合情報サイトです。ありとあらゆるコスメ・化粧品の口コミや商品情報を集結させたサービス。かくいう私も「＠ｃｏｓｍｅ」のユーザーだったりします。実際にコスメを利用したユーザーの口コミを見ることができ、商品を購入する際に参考にすることができて非常に便利なサービスです。
そのほか「＠ｃｏｓｍｅ」で話題になった商品・人気商品をネット購入可能な「＠ｃｏｓｍｅ ｓｈｏｐｐｉｎｇ」、実店舗で直接購入できる「＠ｃｏｓｍｅ ｓｔｏｒｅ」の運営などをしています。

コスメ・美容を中心としたメディア、ECサイト、店舗運営と様々な事業展開を行っているアイスタイルで、テクノロジー本部副本部長　システムアーキテクチャ部部長を務める松田進也様とテクノロジー本部　システムアーキテクチャ部　アーキテクチャグループ/インフラストラクチャグループ　マネージャーを務める今井陽太様にお話をお伺いしました！

Q.まず初めに、松田様と今井様の主な仕事内容をお聞かせください。
A.松田：私はテクノロジー本部副本部長とシステムアーキテクチャ部部長というポジションにいます。副本部長として本部全体の取りまとめを行うだけではなく、システムアーキテクチャ部の統括を行っています。テクノロジー本部全体を見るだけでなく、システムアーキテクチャ部部長としてサービスの根幹部分を見ています。

合わせて個人情報保護責任者も担当していまして、Pマーク取得・保持関連の指揮を取っています。
今井：私は松田が統括しているシステムアーキテクチャ部のアーキテクチャグループとインフラストラクチャグループのマネージャーをしています。
松田はテクノロジー本部全体を統括しながらシステムアーキテクチャ部も見ていますが、私はそのシステムアーキテクチャ部でよりエンジニアに近いポジションでサービスシステムを管理しています。

Q.テクノロジー本部というのは御社のシステム全般を管理している部門でしょうか？
A.松田：そうですね。テクノロジー本部全体で170名くらいが所属している部門です。デザイナーや情シスの方も含んではいるのですが、結構な大所帯ですね。
「＠ｃｏｓｍｅ」のシステムそのものを管理している部門はシステムアーキテクチャ部なんですがそこだけで24名ほどのメンバーが所属しています。
システムアーキテクチャ部内も主にインフラシステムを管理するインフラストラクチャグループとAPIの開発など行うアーキテクチャグループの２つが存在しています。

Q.サービスを運営する中で気をつけていることは何ですか？
A.松田：サービスを運営する上で一番気をつけていることは、やっぱりサイトを落とさないように維持することですね。１、２年前からのことなんですが、SNS連携をできるようにしたんです。ツイッターやFacebookで広告を打ったりキャンペーンを行うと、そのタイミングでアクセスが集中するので、インフラ側でリクエストを素早く処理できるようにしています。
せっかくキャンペーンを打ち出しているのに、サイトが落ちてしまっては全くもって意味がないですからね。そこは注力して取り組んでいます。

Q.サイトを落とさないように注力しているとのことですが、DDoS攻撃といった高負荷アクセスはありますか？
A.松田：そうですね、普通にありますね。
今井：DDoS攻撃・DoS攻撃は日常的にあって多いときは週に３、４回くらい来ていますね。
国内外問わず攻撃は来ているんですが、海外からが多い気はします。ただ、現時点ではサイトが見れなくなってしまうようなものではないです。今の所は大事には至っていないので、DDoS攻撃が来ていることだけチェックしている状態です。

Q.サービスに登録されている個人情報の管理方法はどのように行っていますか？
A.松田：個人情報にアクセスできる人間を制限しています。社内のメンバーからこういったデータが欲しい、あの情報を出してくれと言われることがありますがそういった場合も特定のメンバーだけがアクセスして情報を抽出しています。
また、弊社の場合はECサイトの「＠ｃｏｓｍｅ ｓｈｏｐｐｉｎｇ」とコスメ・美容の総合サイトの「＠ｃｏｓｍｅ」と実店舗である「＠ｃｏｓｍｅ ｓｔｏｒｅ」といった各サービスで異なったユーザーを抱えています。
「＠ｃｏｓｍｅ」を使用しているユーザーが実店舗やECで買い物をする。実店舗やECで買い物をしたユーザーが「＠ｃｏｓｍｅ」に登録するというパターンもありますね。
そういった別のサービスごとのユーザー情報の紐付けを行なって管理をしています。
実店舗の「＠ｃｏｓｍｅ ｓｔｏｒｅ」で買い物したユーザーにはポイントカードをお渡ししていて、合わせてモバイル登録をお願いしています。モバイル登録をすると「＠ｃｏｓｍｅ ｓｔｏｒｅ」で購入した商品の履歴やポイントを確認出来るようになります。
さらに「＠ｃｏｓｍｅ ｓｈｏｐｐｉｎｇ」とポイントを共通させているので、どちらで購入してもポイントを貯めたり、使えるようになります。「＠ｃｏｓｍｅ」関連サービスは全て１つのアカウントで利用でき、管理が簡単なためメリットを感じたユーザーに積極的に登録していただいています。
結果、オンラインとオフラインの情報が紐付くので、ユーザーの細かいデータを得ることが可能になり、今後のデータ分析に役立てることができます。

Q.店舗で管理する情報とオンラインの情報があると管理が難しいように感じますが、その辺はいかがですか？
A.松田：そうですね、実店舗の運営はグループ会社というポジションなので、そういった面では確かに難しいかもしれませんね。個人情報の管理方法に関してはアイスタイルで決めたルールに従ってもらっています。
けれども、アイスタイルが管理しきれていない部分もある可能性があるので、実店舗が持つ個人情報の取り扱いについては今まさに取り組んでいこうとしているものの一つでもあります。
Pマークの改定が来年あるので、それに向けて個人情報の取り扱いに関して取り決めを精査しています。ECサイトを管轄するグループ会社も実店舗を管轄するグループ会社も、グループの統一方針に沿って運用してもらうことになると思いますね。

Q.今以上に全てアイスタイル本体と同じ条件で管理するようになるということですか？
A.松田：そういうことですね。今ももちろんアイスタイルと同じ方針で個人情報を取り扱っていますが、今後はもう少し細かく決めた方針に沿ってもらうことになります。
結局のところ弊社は同じフロアにグループ会社もいるので同じルールに沿ってもらった方が運用が楽なのもありますね。足並み揃えた方が効率的です。

Q.海外展開もしている御社ですが、海外でのサービスの管理はどのように行なっていますか？
A.今井：弊社のサービスは海外にもありますが、管理は全てアイスタイルで行なっています。今私たちがいるこのフロアですね。グループ会社のシステムが同じフロアにあるように海外事業のシステムも全てここで管理しています。海外拠点でシステムを管理するとなるとそれぞれ運用や管理方法もバラバラになってしまうのでグループとしての管理の統率が取れなくなってしまいます。
そういった状態はトラブルを招く可能性もあるので、全てアイスタイルで管理しているという現状です。その方が何かと早いですからね。

弊社は企業合併なども行なっていて、その度に新しく迎え会社にいたエンジニアにこのオフィスで勤務してもらう様にしています。理由は個人情報の管理や海外事業と同じですね。グループ全体でまとめた方が管理がしやすいから。
万が一アイスタイルで使ったことがない技術を使っている場合は、共有してもらってアイスタイルの技術とマージします。
新しくグループに入ってもらう際に技術をマージしてもらう理由としては、技術的な問題というよりもそのエンジニアが成長するためにも今までいた会社の技術をずっとやるのではなくて、色々できるようになった方がいいのではという考えがあるからです。
また、ミーティングや評価もアイスタイルの基準で行うので、独自の技術を使い続けるよりも技術をマージする方が物事が円滑に進みますね。

Q.今までにサイバー攻撃によって実害が出たことはありますか？
A.今井：幸いなことに、個人情報流出やウイルスといったクリティカルな問題に出会ったことはないです。
使用していたCMSに脆弱性が発見された、ということならあります。早期に発見ができたのでユーザーへの実害は出ていないですが、そもそもどこから攻撃を受けたのか突き止めるのに非常に時間を要しました。元凶がわからないと復旧してもまた攻撃されてしまいますからね。
その事件を機に、Webセキュリティに対する意識が変わりました。

どの企業でも課題だと思うんですが、Webセキュリティって比較的後回しにされやすいんですよね。現状何も起こっていないのだから、対策をする必要はないと思われがちというか。新しいサービスを展開する方に力を入れ込みたいじゃないですか、やっぱり。
セキュリティは予防線みたいなものにもかかわらずお金がかかる製品が多いですしね。お金かけて対策したり、無料だけど時間がかかるものを導入するとかの判断をする時間があるならその時間を別のことに使いたいと思われてしまうんです。
弊社の場合、事業計画の中にもセキュリティ関連の要項が追加されてきたので、徐々に経営層のセキュリティへの意識も変化してきたと感じてます。
ゆっくりではありますが、Webセキュリティへの取り組みも進んでいく予定です。

Q.社員は個人情報を取り扱うことに対する理解はありますか？
A.今井：私の肌感ですけど、正直理解度は向上の余地があると思います。それこそセキュリティへの取り組みについて事業計画にも盛り込まれるようになったと話しましたが、一般社員へのセキュリティ意識の浸透は道半ばな気がします。
個人情報のデータはテクノロジー本部で管理していますが、社員には、欲しいデータがすぐ取れないのは困るという人も少なくはないです。もちろん自分が抱えている顧客情報は十分に注意しているのですが、大きい枠組みになった時に意識が下がってしまうのだと感じます。

松田：業務を行う上で必要となってくる情報に対しては業務遂行という目標が優先されてしまうので、セキュリティは二の次になってしまうんですね。
個人情報とは直接関わりはありませんが、入館カード一枚でも、無くすと社内全体に通知が届くようになっているんです。○○さんがカード無くしました、という。そういう通知もあるので身の回りのものに対する管理意識は高いと思います。パソコンも外部へ持ち出す場合は私まで申請を通さないとならないので、面倒とは思っていても各自管理は怠っていません。
入社時に必ずセキュリティ教育を行っていて、個々のパソコンはどう管理するか、Pマークとはなんなのかという説明しているので必要最低限の知識は有しています。
ただそれだけではもちろん十分ではないので、今後はeラーニングのような、各自が自由に好きなタイミングで勉強ができるツールの利用を検討しています。
今までは入社時のみの教育で得るだけだったセキュリティ知識もeラーニングの導入によって変わると思います。

Q.経営層のセキュリティへの取り組み意識はどの程度ですか？
A.今井：事業計画の要項にセキュリティ対策があると言いましたが、経営層はセキュリティ対策の必要性は理解してくれていますが、専門家ということではないので、
経営層からこの対策をしてくれこのサービスを入れてくれというよりかは、テクノロジー本部の方からセキュリティ対策するためにはこのサービスを入れた方がいいですよとか、このサービスを入れてみたいんですがどうですかという提案をこちらから行う感じですね。
個人情報周りを重点的に対策しながら、中も外もセキュリティレベルを向上させていくことになる予定です。

Q.脆弱性対策やそのほか取り組んでいるWebセキュリティ対策はありますか？
A.今井：システムアーキテクチャ部では使用しているソフトウェアの脆弱性情報を収集しています。クリティカルなものはもちろん、更新できるものは全て更新しています。基本的にはアプリケーションを開発したエンジニアが対応するんですが、即時に対応できないものや工数がかかるものはグループ全体で相談して時期を検討してアップデートをしています。できる限り最新のものであるようにしていますね。

あとは、先ほどあげたように、個人情報にアクセスできる人も用途とポジションによって権限を振り分けています。個人情報を閲覧だけできるアカウント、個人情報を読み書きできるアカウントなどですかね。限られたメンバーだけが個人情報に触れられるような状態にして、個人情報流出のリスクを軽減しています。

Q.膨大な顧客データを取り扱っていると思われますが、今後の利用の方向性は決まっていますか？
A.松田：弊社はメディアと ECサイト、実店舗とそれぞれ異なったデータを所有しています。実際のところこのデータをフルで有効活用するのはまだまだこれからだと考えています。ユーザーの購買やアクセスの履歴から、AIを用いて本当に欲しい情報を表示するカスタマイズ機能を開発中です。最終的に各ユーザーの傾向に合わせた広告の表示や商品の宣伝ができるようになるといいですね。今までの化粧品・コスメの専門サイトからビューティ・美容系全般のサイトを目指しているんです。今は口コミが目的でサイトを訪れる人が大多数です、そこでハウツーや美容家さんのコラムをユーザーに合わせて提供することで美容サービス全体を網羅するようなサイトを提供していきたいなと考えています。

Q.今後利用を検討しているセキュリティサービスはどんなものがありますか？
A.今井：今後利用をしたいと考えているセキュリティサービスだと、脆弱性診断やIPS※を想定していますね。脆弱性診断に関しては今までもたまに利用していたんですが、脆弱性診断を行って、直して、また診断して、直してというと結構運用コストがかかってしまうんですよね。診断を利用するだけで費用がかかるだけならいいんですが、修正対応をするリソースが予算外になってしまうので、結果的にお金が余計にかかってるということになりかねません。
今はそれに関してもなんとかなるかなと考えているので、セキュリティ向上のためにも定期的な脆弱性診断を行っていきたいですね。
※IPS…Intrusion Prevention System　不正侵入防止システム。異常な通信があった場合に通信をブロックし、通知するシステムのこと

松田：セキュリティへの意欲は段々と高まってきているので、セキュリティレベルを向上させるために何が必要が、どんなことができるのか、それにいくらかかるのかという今までだったら後回しになってしまっていたものを考える余裕ができてきたと思っています。それは企業全体として、今まで以上に事業が成長して社員が増えたり、業績が伸びたりして、次のスケールへとステップアップする兆しがあるからです。最低限の対策だけをやっていた時代から、プラスαの対策まで手を伸ばすことができる時代になったんだと感じています。
私たちはこれからもユーザーの方たちを第一に考えて、安心に便利に美容やコスメの情報をキャッチアップできるようなサービス作りをしていきたいと考えています。

松田様、今井様ありがとうございました。
メディア、ECサイト、実店舗とそれぞれ異なる顧客情報を一元管理することで、顧客情報を安全かつ効率的に管理することができますね！システムの管理も同様に同じ部署で行うため、子会社でも連携して同じ質のサービスを提供できるということもわかりました。Webセキュリティへの意識も高く、これからますますセキュアなサービスになっていくと思われます。今後はAI技術を発展させる予定など、これからの動向が楽しみなアイスタイルでした！今後も株式会社アイスタイルの更なる発展を応援してまいります！

***

当サイト「CyberSecurityTIMES」を運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。

専門家によるサポートも充実しておりますので、お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。