オイシックスに学ぶセキュリティリスクを極限まで減らす方法とは？

こんにちは、CyberSecurityTIMES編集部です。
SecurityTIMESのインタビュー企画「教えて！Webセキュリティ対策」第１弾は、有機野菜の食材宅配ネットスーパーで有名な「Oisix」を運営する「オイシックスドット大地株式会社様（以下オイシックスドット大地）」に行ってまいりました！

オイシックスドット大地は、農薬や食品添加物、合成着色料などの使用を制限した安心で美味しい食材を宅配してくれる通販サービス『Oisix』を展開しています。その他にも、『Oisix』の取り扱う食材を実際に見て購入することができるようにリアル店舗も運営しており、2010年にオープンした恵比寿三越店をはじめ、東京・神奈川・千葉・埼玉・愛知で計27店舗を運営しています。
また、『Oisix』の通販サービスで培ったノウハウを生かしたECコンサル事業や広告出稿サービスも展開しています。さらに2017年10月には、有機野菜販売のパイオニア「株式会社大地を守る会」との経営統合も予定しています。

今回は、こうした事業を支える上で重要なWebセキュリティに関する取り組みについて、システム基盤部部長を務める長尾優毅様にお話を伺いました！

Q：まずはじめに、システム基盤部に所属している長尾様の主な仕事内容を教えてください。
A：私はオイシックスを支えるシステム全体の、パフォーマンス維持・向上や安定稼働をミッションとして日々業務に取り組んでいます。具体的には、インフラの構築・保守・運用といった業務がメインですね。
セキュリティ面では、利用するミドルウェアに今脆弱性が存在していないか、過去に発生した脆弱性の件数から狙われやすい製品ではないか、などを調査し、必要な対策をすることも仕事の一つです。「よく使われているから」「導入しやすいから」という理由だけで選定してしまうと、いつまでも脆弱性の対応に追われて後手になってしまいますので、サービス選定時の情報収集は念入りに行っています。ミドルウェアの脆弱性が発見された際は、バージョンアップ、他のミドルウェアへの切替などを迅速に行うことで、脆弱性のリスクを極限まで減らすように努力しています。
こうしたサービス維持のためのリスク排除も、私の重要な仕事の一つですね。

Q：御社のサービスのシステムを支える部署の構成をお聞かせください。
A：WEB開発部、システムサービス部、システム基盤部の3つがあります。私の所属しているシステム基盤部では、ECサイトや基幹システムのパフォーマンスやセキュリティを担保するSREチーム※、DevOpsを推進するチーム、ヘルプデスクチームがあります。
※Site Reliability Engineeringの略で、サービスの安定性や信頼性を保ち、向上させる目的を持つチームのこと</font >

また、弊社には「リスク管理委員会」という弊社にとってリスクになるものを管理し、指針を決める機関もあります。
サービスに大きな影響が生じるトラブルや事件などが発生した場合は、リスク管理委員会に報告し、彼らと一緒にトラブルの解決に当たります。
お客様にサービスを安心して使っていただくためには、各部署が協力・連携することが重要だと考えており、そのための仕組みが出来ているのが当社の強みだとおもいます。

Q：緊急時の対応はどのように行なっていますか？
A：『Oisix』は24時間365日稼働しているサービスのため、万が一のトラブルや異常が発生した場合にも早急に対応できる体制を整えています。トラブルが発生したらすぐにSREチームに連絡が入るようになっています。基本的には連絡を受けた担当者が内容を確認・対応しますが、個人では判断することができない大きな問題が発生した場合は、あらかじめ定めておいたエスカレーションフローに沿ってアラートをあげ、メンバーを集めて解決していきます。迅速な情報の伝達と対応、連絡系統を整えることによってお客様が安全に利用できる環境を支えています。

Q：長尾様が入社されてから『Oisix』のサービス向上のために行なったことは何ですか？
A：私がオイシックスドット大地に入社したとき、会員数は9万人を超えており、既にサービス規模は大きいものになっていました。けれども、インフラ周りは整備がおいついておらず、セキュリティ面も発展途上でした。Webサイトのパフォーマンスも成長スピードにおいつけていなかったため、改善が必要なのは明らかでした。当時は、まずはできることからと、細かな改善を行なっていきました。
最近では、Webサイトのパフォーマンス向上、全ページのHTTPS対応とHTTP/2の導入を行いました。1ページ当たりの画像数等が多いECサイトなので、HTTP/2を導入することでページ表示速度を予想以上に向上させることができました。
また、全ページHTTPS対応しましたので、セキュリティ面も向上し、お客様にとって安全で使いやすいサイトとして利用していただくことが可能になったと考えています。

Q：入社当時と比べて企業全体のセキュリティ意識はどのように変化していったのでしょうか？
A：現在と比べると、当時のセキュリティ意識は高くなかったと感じています。当時はサイバー攻撃による情報漏えい事件がニュースで取り上げられることが、今ほど多くなかったので、セキュリティについて意識はしていましたが、特に注力はしていなかったとおもいます。
ここ数年色々なセキュリティ事故がニュースで取り上げられるようになり、サイバー攻撃被害の話題を目にする機会も増えてきたことで、社内の危機意識が全体的に高まってきており、セキュリティに関するニュースも敏感に反応するようになりました。セキュリティ対策のためのシステム改修なども積極的に取り組むことができるようになっています。

最近の取り組みの代表的な例として、脆弱性情報の自動収集・対策が挙げられます。
数年前までは、会員数が増え成長していくシステムの拡張を、優先的に対応する必要がありましたので、脆弱性のあるミドルウェアをバージョンアップしたくても、なかなか工数が確保出来ない状況でした。後手に回るケースも多かったと思います。
しかし、現在では脆弱性に対応しないリスクを重んじて、積極的に情報を収集し、修正・バージョンアップをしています。
IPA（独立行政法人　情報処理推進機構）の脆弱性情報取得APIを利用して、情報を自動で収集し、Slackへの通知、Backlogチケットの自動登録と管理をすることで、迅速にバージョンアップするような体制にしています。
昔は見過ごしていたものも、今はコストをかけてでも対応するのが当然になりました。そういう点を踏まえても時代は変わったなと感じます。

社内のセキュリティ意識向上のための取り組みの一つとして、標的型攻撃メールのダミーを定期的に社内に向けて配信しています。配信結果を分析して共有することで、セキュリティ事故を身近に感じてもらい、危機意識を持ってもらうようにつとめています。

Q：最近話題になったセキュリティの話はありますか？ 
A：やはりStruts2の脆弱性は社内で話題になりましたね。
弊社のシステムでも一部Struts2を使用していましたし、被害が拡大しているニュースを見聞きしていたので、早急に対応する必要があると、関係者全員が認識していました。
当社の代表やリスク管理委員会からも心配の声が上がっていましたし、取引先からの問い合わせもありました。自分たちだけではなく、ステークホルダーを巻き込むほど注目度の高い出来事でした。これを機に、今まで以上にセキュリティ意識が高まったと思います。

Q：最終的に、Struts2脆弱性の対策はどのように行ったのでしょうか？
A：WAF※の導入など、いくつかの対策方法を検討しましたが、最終的にはStruts2の脆弱性自体をアプリケーション側で対策することで暫定回避しました。Struts2の脆弱性情報は二転三転していたので、修正の回数も増えて大変でしたね。対策に費やした時間は合計で２週間くらいだったと思います。現在はWAFのみなおしなど、予防のためにさらに対策を強化しています。
※Web Application Firewall…Webアプリケーションへの攻撃を防ぐセキュリティサービスの一つ</font >

Q：担当者目線で考えるセキュリティリスクとはどんなものですか？
A：一番リスクが大きいと考えているのは個人情報の漏えいですね。
お客さまにご迷惑をおかけしてしまうことなので徹底的に防ぎたいですし、食材とは直接関係なくとも情報漏えいというネガティブな印象はサービスを提供するうえでリスクだと考えています。
個人情報に関わることは特に慎重に取り組んでいます。とにかく何としても避けたいリスクの一つです。

その他、DoS/DDoS攻撃のようなサービス運用妨害対策に苦慮しています。システムダウンしないようにAutoScaleさせたり、アクセスの集中しやすい日は監視強化を長時間にわたって行っていますがまだまだ十分とはいえない状況です。
最近では中国をはじめとした海外経由でのDDoS攻撃も増えていますので、追加で対策を行うことが今後の課題です。

Q：御社サービスで必要不可欠な、配送に関連する情報の管理はどのように行なっていますか？
A：当社では商品の配送に関しても独自システムで行なっています。当社のシステムはほとんどクラウド化されているのですが、このシステムは万が一のことを考えてクラウドと配送センター内で多重化されており、万が一配送センターが孤立してしまったとしても、センター内のシステムだけでお客様に商品が届けられるようになっています。

長尾様ありがとうございました。
非常時に備えたリカバリーの仕組み作りや標的型攻撃に対する実践的な取り組みなど、あらゆる面でセキュリティ意識の高さを実感しました。抜かりなくセキュリティ対策を行うからこそ、ユーザーが安心して利用できるサービスを提供できるんですね。今後の活躍も見逃せません！オイシックスドット大地株式会社の更なる発展を応援してきたいと思います！

***

当サイト「CyberSecurityTIMES」を運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。

専門家によるサポートも充実しておりますので、お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。