社員へのセキュリティ教育も定期的に開催する理由とは？

こんにちは、CyberSecurityTIMES編集部です。
【教えて！Webセキュリティ対策】第2弾は「株式会社ゴルフダイジェスト・オンライン（以下GDO）」です。
GDOは2000年に創業し、ゴルフ専門のメディア運営・ゴルフ用品の通販・実店舗販売・ゴルフレッスン事業・ゴルフ場の予約サービスといった、ゴルフ関連のサービスを提供している企業です。
ゴルフに特化したサービスを提供することで、他にない独自性を保ち続けるGDOのWebセキュリティの取り組みについてお話を伺ってまいりました。
今回インタビューにお答えいただいたのは、経営戦略本部　本部長　CTO　渡邉信之様と経営戦略本部　インフラマネジメント室　室長　白尾良様です。

Q.まず初めに、渡邉様、白尾様の主な仕事内容をお聞かせください。
A.渡邉：私は経営戦略本部本部長　CTOという立場でIT戦略から実務のマネジメントまでを行っています。その傍ら、新規事業、特に海外事業の事業責任者として事業推進からITのことまで全てを管轄しています。5年後10年後のGDOを作っていくために動いています。

白尾：私は渡邉の下で渡邉が構想したことを形にしていく担当といったら良いでしょうか。弊社の事業であるゴルフ場の予約・Eコマース・メディアを動かすシステムのマネジメントと、社内のITマネジメント、所謂情報システムの担当をしています。

Q.システム部門の構成をお聞かせください。
A.渡邉：GDOは大きく分けて事業部門と機能部門に分かれています。事業部門には予約事業やEコマースといった各事業のグループがあり、機能部門は総務や経理・人事といった管理系の部門や我々のようなシステム系の部門などがあります。その他カスタマーサポート部門やデータ解析部門を含め、全部で10部門に分かれています。

Q.10部門に分かれているとのことですが、セキュリティ知識の共有や教育はどのよう行なっていますか？
A.渡邉：弊社には「リスク統括部門」が管理部門の中にありまして、その部門主体でセキュリティ研修を年２〜３回ほど実施しています。自分たちでコンテンツを作成して、オンラインで研修を行っています。個人情報保護法やセキュリティ以外の話もありますが、研修を通して社員に啓蒙活動を行なっています。

正直いうと大変な時期にジョインしたなと思っています。
ジョインしてから2年ほど経過した2008年ごろに、GDOのサイトが不正アクセスを受け、サイトの運用が停止する大規模なセキュリティインシデントが発生しました。原因調査と対策を行う必要があったのでそれを含めて10日間、サイトは閉鎖し営業も停止する事態に。2008年前後というのはまだセキュリティ対策への認知がそれほどされていなかったため、積極的な投資はほとんど行われていませんでした。脆弱性診断もやったことはなかったですし、弊社にはまだ関係ないだろうと重要視していませんでした。
けれどもこの事件をきっかけにセキュリティ対策を行わないことは企業にとって経営リスクに繋がると危機感を抱いたので、そこからかなりの金額をかけてセキュリティ投資をするようになったんです。

また、弊社は2011年にシステムの大改修を行いました。改修時のテーマは「セキュアなアプリケーションを作ろう」でした。もちろんセキュリティだけの目的でリニューアルを行なった訳ではありません。これから５年10年と戦っていくためにシステムを強化しなければならない状態になったからです。

2008年の事故でアプリケーションをセキュリティ強化のために改修、2009年には仮想化を行いサーバのスピードをあげてトラフィックを捌けるようにするなど、改修を重ねてできることを増やしました。そしたら、サービスをもっと拡張したくなったんですね。
今までは企業が大きくなりサービスが成長するのに合わせて、継ぎ足し継ぎ足しでシステムを拡張していたので、ソースコードもぐちゃぐちゃな状態で、設計書もない、全体像の把握もできていませんでした。こんがらがった状態に業務を合わせていたので効率が悪かった。
業務の効率を改善するためにシステムも改善しようとなりました。このとき、各システムごとにリニューアルをしようと考えていたのですが、「隣がやるならうちもやる」といった感じでどんどん伝播していって、最終的に全てのシステムをリニューアルすることになりましたね。2011年のシステムリニューアルでものすごい費用をかけたので、2011年〜2014年くらいまではコスト削減を掲げながら事業を行なっていました。そして気が付いたら今になっていたという感じです。

Q.システム大改修の際に苦労したことはどんなことがありますか？
A.渡邉：2008年ごろは緊急時の対応フローが全く決まっていなかったんですね。それこそシステムが停止していることをお知らせするエラーページを用意することも出来ておらず、404エラーを返すこともなく、ただただ真っ白なページになってしまうのが日常でした。きちんとエスカレーションしようと決まったのはやはり2008年の事件がきっかけです。事件当時はシステムの中身を把握できていなかったので、何が起こっているのか、どう対応するべきなのかわからなかったんです。サイトが停止した10日の間、発生したインシデントの状況全てを把握するまで4日も費やしました。この事件をきっかけに起きた事象に対してどういう優先順位で誰にエスカレーションして何時間経ったら緊急対策本部を設置して対策するかを整備しました。

2011年のシステム大改修の際も対応フローや運用設計を念入りに決めました。
一番苦労したことは、各システム同士がどのように通信しているのか誰もわからないという状態でそれらを紐解きながら作っていくことでした。ソースコードを紐解きながらの作業だったので、当然漏れも発生したり、テストのリソースや本番のトラフィックを捌くバリエーションも足りなかったりして、リリース後も10日間前後は不安定な状態が続きました。
リリース後、Eコマースで「30人に１人無料！」という大々的なプロモーション企画を1週間実施したんですが、不安定な状態の中アクセスが集中しすぎてトラフィックを処理することができなかったんです。30人のうち1人が無料だったわけですが、ECサイト自体にたどり着ける人がほとんどいなかったためキャンペーン中に30人も買い物ができなかったという事態でした。キャンペーンは面白かったけどどんなに準備万端で挑んでも想定外のトラフィックが来たときに捌けないという経験をして、不測の事態に備えることの大切さを痛感しました。
負荷試験も時間をかけてやったんですが、想定が足りなかったんですね。その反省もあって、新しくリリースする際は準備をより念入りに、万が一のトラブルもすぐ対応できるように人員リソースを増やしています。

Q.2015年の個人情報漏洩事件について、GDOはどのような取り組みを行ったのかお聞かせください。
A.渡邉：2015年の情報漏洩は、自社のデータベースから流出したのではなく、株主の情報を委託していた株主優待用の外部企業からの情報漏洩です。2008年のときは後手に回ったり対応が遅れてしまったという経験があったので、即時に緊急対策本部を設立して情報管理しました。この情報漏洩があった旨を発表しなければならなかったのですが、情報が漏洩したのはあくまでも株主だけの話でお客様の情報が漏れたのではないということを理解してもらえるように慎重に事を運ぶ必要があったんですね。お客様の不安を煽らないように発表の内容には非常に気を使いました。

外部委託先の情報管理については信頼関係と言いますか、書面での機密保持契約だけで行い、合わせてチェックシートをお送りして管理していました。事件の後は、実際に訪問してチェックシート通りにできているか、どんな管理体制なのか、より念入りに確認しています。

サーバはほとんど東京にあってセキュリティはガッチリ固めているんですが、シンガポール用のシステム環境を東京のシステムの中に入れなれければならないのか、それともシンガポールにありながらも同じようにセキュリティを固められるのかを検討しているところです。日本にいながらもシンガポールのサーバをBIG-IPで制御できるのか、できないのであればどうするべきなのかを今まさに検討中です。
一番はレイテンシー（遅延）の問題をどう処理するかであって、東南アジアの人がサイトを閲覧するときにシンガポールリージョンと東京リージョンでどれだけ差が出るのか調べなければならないんです。

渡邉：シンガポールリージョンで繋いだら明らかに早かったんですね。サイトの処理スピードの問題もありますが、東南アジアの人に説明する際もサーバの所在を聞かれるので、「日本」と答えるよりも「シンガポール」と答えた方が反応がいいんです。東京にあると日本のサービスと思われてしまうというか、日本よりシンガポールの方が親近感を持ってくれるみたいです。
シンガポール以外の国もあるんですが、シンガポールリージョンのラインナップが一番充実していました。もちろん日本の方がもっとたくさんあるんですけどね。
日本以外のサーバ拠点を持つことによる運用の煩雑さは発生しますが、日本のものは日本で、シンガポールのものはシンガポールで管理するという形が作れればなと考えています。
セキュリティ面でも東南アジアだけじゃなくグローバル用のWAFがクラウドで完結するようなグローバルインフラを作れれば良いなと思ってるので、これから議論していこうと思っています。

Q.ランサムウェアが世界中で流行していて、先日はWannaCryが話題になりましたが、そういったWebセキュリティとは異なる領域の教育や対策はどのように行っていますか？
A.渡邉：リスクマネジメント部門で、緊急の教育を行って社員に周知しています。システム面だと社内のWindowsサーバへのパッチ適用のスケジュールを細かくして毎月やるように徹底していますね。
それ以外だと標的型攻撃への対策として、つい先日もテストを行いましたね。
白尾：そうですね、全社員に「健康診断のお知らせ」と題したメールを送りました。
お知らせメールにファイルが添付してあるのですが、おそらく社員の半分くらいが開けてしまったと思います。開けてしまった人は、次へ次へと押したら開いちゃったっていうんですけどね、ダメですよという。こういった標的型攻撃についてはセキュリティ研修で教育をしていますが、定期的にテストをやらないと危機意識が低くなってしまうようです。タイミングをみてもう一度やる予定ですけど、どうなるか楽しみですね。
また、標的型に関してはテスト以外にもフィルタリングをかけているので、よっぽどのことがない限りは届かないとは思っています。

Q.DDoS攻撃への対策はどのようなことを行なっていますか？
A.渡邉：幸いなことに弊社のサービスにはDDoS攻撃は来たことがないんです。
万が一のことを考えてDDoS対策サービスを導入しているんですが、来てみないと本当に機能するのかはわからないんですね。来ないのが一番なのはわかりきっていることですけども。
DDoS対策も先行投資だと思うんですよね、まだ来てないものに対して、準備するという。弊社は何か新しいものをやるときにセキュリティも全部セットで考えるようにしています。あとは結構後付けですね、そのときいいものを入れてみるというか。一年でガラッと変わってしまいますからね。

Q.GDOが考える経営リスクとはなんでしょうか
A.渡邉：そうですね、いろいろあるんですが、弊社の場合、予約・EC・メディアとそれぞれ違う会社があるような状態なんです。その中での経営リスクと考えるとシステムが正常に動かなくなることだと考えています。そのリスクを回避するために、今まで話したように投資を含めできる限りの対策をとっています。
あとは災害ですね。天変地異レベルの災害ももちろん経営リスクです。東日本大震災の時もそうであったように、最近だと大雨とかもですね。そういうことが起きるとかなりのリスク・損害になると思っています。
個人的に考えるのは、物流とかで自分たちが直接関われない部分が止まってしまうこともリスクだなと思いますね。Amazonとヤマトの販売と配送のバランスみたいなのとかですね。ECでモノはすごく売れているのに届かない状態は事業にとってリスクですね。

Q.今興味のあるセキュリティサービスや利用を考えているものはありますか？
A.白尾：従来のような二要素認証ではなく、もっと画期的なものがあるといいと思っています。弊社の場合、奥さんが旦那さんのアカウントでログインしてお買い物とか普通にあるんです。そういうのに対して、本人ではないかもしれないからと全てのアクセスを疑って止めることはできないですよね。しきい値を厳しく設定することは簡単ですけど、そういうのではなく本当に怪しいものだけを綺麗に切っていくというものが出てくるといいなぁと。
正常かロボットじゃないかを判断するためにも二要素認証は必要で、『その人本人だ！』という個人特定をするものが必要です。

渡邉：二要素認証はほんと今ホットだと思っています。実を言うと必須情報と会員登録ステップを減らしたんです。離脱率が高い場合って結局面倒くさいから離脱しちゃうに尽きると思うんですけど、セキュリティと便利は背反しているなと感じています。
そういうことも踏まえていかに簡単に二要素認証を行うのかを考えないといけないですね。
生体認証も面白いと思っているんですけど、そうするとさっき白尾が言ったアカウントを共有している人が買い物できなくなっちゃうという問題もあります。共同でポイント貯めてる人もいるし、やっぱり課題だと思いますね。

Q.さらにGDOが発展するために取り組みたいことはなんですか？
A.渡邉：僕はやっぱり海外事業の成功に向けて頑張っていくつもりです。
白尾：僕は、サーバーレスと言うものが気になっていまして、それによって大きいデータベースがなくなってパフォーマンスや性能が良くなるといいなと考えています。
これからもGDOを利用いただくお客様のためにもよりセキュアなサービスを提供していきたいです。

ありがとうございました！
GDOは2008年の事件を受けて、根本的な部分からセキュリティの見直しや、システムの再構築を行なったということがわかりました。事件がきっかけではありますが、それによってより高いレベルでのセキュリティの取り組みを行うことができたんですね。セキュリティサービスへの投資を惜しまない姿勢も非常に勉強になりました。
海外事業の発展も目前なGDOの活躍が見逃せません。
これからも株式会社ゴルフダイジェスト・オンラインを応援してまいります！

***

当サイト「CyberSecurityTIMES」を運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。

専門家によるサポートも充実しておりますので、お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。