チケット販売サイト「e＋」に学ぶセキュリティレベルを向上させる方法

こんにちは、CyberSecurityTIMES編集部です。
【教えて！Webセキュリティ対策】第５弾は株式会社イープラス（以下イープラス）様です。コンサート・演劇・ショーなど、ライブ好きの人なら一度は利用したことがあるであろう、チケット販売サイトの「e＋」を運営している企業になります。
イープラスは1999年7月に設立され、チケットの販売方法として定番であった窓口販売を一切排除し、2000年よりインターネットでのチケット販売に特化させて事業を伸ばしてきました。
今回はそんなイープラスのシステム部システム運用グループで統括マネージャーを務める小西 雅春様にインタビューを行い、「e＋」のWebセキュリティ対策や、社内で行っているセキュリティへの取り組みについてお話を伺いました。

Q:初めに、小西様が所属されている組織の構成と、主な業務内容を教えてください。
A:イープラスのシステム部門は、システム運用グループと開発グループの二つのグループがあり、僕はそこのシステム運用グループで統括マネージャーを務めています。
システム運用グループの主な仕事は、システムやアプリケーションの運用、リリースを行うことです。
そのほかに、日々追加されていくチケット販売の受付情報を管理したり、他部署の要望に合わせてデータ抽出・加工して渡すといったことも行っています。
僕はグループ全体の統括を行いながら、インフラの設計構築をメイン業務として担当していて、他のインフラメンバーと協力してe＋のインフラの運用管理を行っています。
システム運用チーム、データ抽出のチーム、僕を含めたインフラチームと、システム運用グループ全体で30名ほどのエンジニアが所属しています。

Q:情報システム部の役割もシステム運用グループが担当しているんですね。
A:はい、情シスもシステム運用グループの中にありますね。僕もその情シスチームに関与しています。
ただ、実はこの情シスチームとは別に、弊社代表の倉見が委員会の長として立っている「セキュリティ方針委員会」というものが組織されていて、社内のセキュリティ関連の方針を決めています。
例えばですが、各部署の要望に合わせたパソコンはシステム運用グループが選定しますが、取り扱いルールは「セキュリティ方針委員会」で決めています。
倉見は個人情報の流出を絶対に起こさない！という強い想いを持っていまして、情シスとは別にセキュリティを専門に考えるセクションがあったほうが良いという理由で委員会が発足しています。

Q:e＋を運営する中で、インフラ面ではどのようなセキュリティ対策を行なっているのでしょうか？
A:まず物理的な対策の話をすると、大枠の対策として社内LANをパブリックLANと、セキュアLANの二つに分けています。セキュアLANには各部署にそれぞれ１台だけ設置されている作業用PCが接続されています。物理的にネットワークを分けることで、弊社の基幹システムにある個人情報へアクセスできるネットワークを限定しています。
セキュアLANに接続していれば当然その個人情報は参照できるわけですが、ネットワークが完全に分離されている状態なので、その端末から他の端末に持ち出すことができません。どうしてもその情報を取り出す必要があるときは、そのLANにつながっている端末から送るようにしています。メールで送る際はメーラーが自動的にファイルを暗号化して、パスワードも自動生成して送信されるようにしていて、送信履歴を定期的にチェックしています。USBメモリなどの記憶媒体へデータを書き出さなければならない場合は、常時カメラで録画をしているPCで作業をしてもらっています。何かしらの問題が発生した際に、誰がどういった作業をしたのか追うためですね。
あとは各入り口に監視カメラを設置したり、社内のプリンターにも監視カメラを置いています。

販売システム側の対策としてネットワーク上にWAFを導入しています。その他、データベースに対してはDAM※を導入しています。データベースへの操作、トランザクションは全て管理してログとして保管しています。週に数回、怪しいアクセスがないか確認しています。
基幹システムへのアクセスはチケットの受付を立てるとか、仕入れた座席を登録するといった作業で発生するので、そういうもののログを取るといった感じです。
こんな感じで、物理的なカメラと、ネットワークの両方で監視しています。
※DAM（Database Activity Monitoring）…データベースへのアクティビティを明確にするデータベース監査システム。

Q:高負荷なアクセスに対して行なっている対策はありますか？
A:高負荷アクセスと言いますと、昨年に一度大規模なDDoS攻撃を受けました。人気のあるアーティストのイベントチケットで、そのチケット販売のタイミングで攻撃を受けました。あまりにも強烈なやつですね。
このとき利用していたネットワークのバックボーンは、契約元の他のお客様も入っているものだったので、他の利用者にも影響する可能性があると言われて通信を遮断されてしまいました。チケットを買いたい人がたくさんいるのに、サイトにまったく繋がらないという事態になってしまったんですね。
そこから、今後こういったことがないようにとDDoS対策のサービスを検討しはじめました。
DDoS攻撃のように世界中からアクセスがくるものに関しては、CDNが効果的で、CDNの利用を開始してからは安心して運用できています。導入までのスパンは、サービスの比較検討に半年、導入に半年、全部で1年ほどかかりました。
DDoS攻撃以外にも、特定のチケット販売のURLを狙ってDoS攻撃されることもあるんですが、それらはサーバ上でフォルター設定を行なったりすることで、短時間に一箇所からくる大量のアクセスを止めるようにしています。

Q:DDoS攻撃以外で、トラブルや課題はありますか？
A:幸いなことに現在はシステムに関わる大きなトラブルはありませんが、
ビジネスの進化にシステムがなかなか追いつかない面があり、膨大な作業を人の手に頼らざるを得ない点が大きな課題だと感じています。
人手に頼る分、ミスが発生するリスクが高まりますので、ミスが発生しないようなチェック体制が必要になってきます。
このようなリスクを減らすためにも、システムやコンピュータでどうカバーしていくのかが今後重要だと考えています。

Q:アプリケーションの開発を行う際に心がけているものはなんですか？
A:基本的に大きい開発要件は大手Slerに依頼することが多く、そういう場合はSler側のセキュリティルールに沿って開発してもらっています。そこでセキュリティを強固にしてもらってから、さらにサービスリリースを行う前にセキュリティ診断をかけています。大きなリリースの際は必須です。
リリース後の定期的なセキュリティ診断に関してはグループ会社共通で利用できる診断システムを利用して定期的に診断を実施しています。
あとは、現在進行系で取り組んでいるものとして、大きくなりすぎた基幹システムをいくつかに分けて、少しずつ小さくしていこうと取り組んでいます。システムが分かれて行くだけネットワークが複雑になってきてはいるんですが、これは通るべき道ですね。
このシステム分割の流れの中で、カード情報漏えい対策の一環として、カード情報の非保持化を実施しました。
今後、数年がかりでシステムの分割・刷新を進め、いろんな課題に対応できる柔軟なシステムに作り替えていく予定です。

Q:ミドルウェアのアップデートや脆弱性対策はどのように行なっていますか？
A:ミドルウェアのアップデートに関しては、緊急を要するものかそうでないかを確認してから、アップデートのスケジュールを決定します。ただ、システムを止められるタイミングというものはそう多くはないので、直近で予定されているメンテナンスウインドウの時にアップデートを行うようにしています。

弊社の基幹システムは大手ベンダーのフレームワークをメインで使用しており、インシデント発生回数はオープンソースと比較して少ない印象があります。

Q:2013年9月に他社サービスから流出した情報をもとに不正アクセス・不正ログインされる事件がありました。当時どのように対策を取られたのでしょうか？
A:当時は事件発覚後、上層のメンバーとごく一部の担当者が秘密裏に調査を行なっていたんですね。専用のプロジェクトチームが立ち上げられてデータベース上のログイン履歴やIPアドレスから分析して比較的短時間で原因を追求しました。事件発覚から１週間以内程度でリリースを発表できたことは普段からセキュリティに対して高い意識を持っていたからだと思っています。

Q:小西様はセキュリティ情報のキャッチアップをどのように行なっていますか？
A:基本的にはJPCERTのメールでキャッチアップしています。本当に重要なケースの場合はJPCERTとかで情報が公開されたあとすぐに世の中に出回ってどこでも目につくようになりますよね。そうすると経営陣からも「これうち大丈夫なの？」と聞かれることもあります。
あとはセキュリティインシデントが出たときにSNS上で知人が関連情報をシェアするので、そこから情報をとることもありますし、昔から付き合いのあるベンダーさんから、最近こういう脆弱性がありますけど御社は大丈夫ですか？と電話をもらうこともあるので、多方面から情報をキャッチアップしています。

Q:セキュリティの教育で行なっていることはありますか？
A:特別に社内セミナーを開いたりということはないですが、普段の業務フローにセキュリティを意識せざるを得ないような仕組みにしていることはあります。重要な情報を取得するための手続きや手順を増やすことで、この情報は非常に重要であると認識してもらうようにしています。
そのほかだと、リンクが入った怪しいメールだとかそういった類のものが届くと報告があれば、全社一斉メールで注意喚起しています。

Q:セキュリティ対策を行うにあたって抱えている課題を教えてください。
A:課題に感じていることというと、ノートPCでの情報の取り扱いですね。営業はノートPCを持って実際のライブ会場や委託元の会社に行くこともありますし、公演の日に会場に行って様子を見ながら、電子チケットの入場ステータスをリアルタイムで確認することもあります。
その際にノートPCに個人情報を入れて外に持ち出すとリスクがあるので、ノートPC上にはデータを保存できないよう、シンクライアントとして画面を転送する形で利用してもらっています。
ただ、外出先によっては、公衆網だと回線が細く、画面転送が遅くて業務にならないこともあります。
配布しているノートPCには、手のひら静脈認証を付けて配布しているのですが、そのようなセキュリティツールと組み合わせて、いかに安全で快適な環境を提供するのかが、今まさに課題になっています。

Q:今後イープラスでセキュリティ対策として取り組んでいきたいことはどんなことですか？
A:一言でいうなら「クラウド化」ですね。弊社基幹システムは、入室も簡単にできないような堅牢なところにシステムがあって、管理は単純で物理的なものがあるというシンプルさがありました。それをクラウドへ移行することはあり得ると思うんですけど、そのときに何から取り組むかという整理がしきれていない状況です。クラウド化したらセキュリティはどう変わるのか、移行するときに気をつけることは何か、運用上の変更点は何か、開発のスピードはどのくらい変わるのか、まずはこうした基本的なことから把握する段階ですね。
少しずつですが、リリースの自動化、テストの自動化などの研究を始めています。
クラウドですから基本的には自分たちの手元にはないわけです。そういう観点でもお客様のデータはクラウドに出せないだろうという考えもあればクラウドの方が安全だという声もありますし、クラウドそのものがまだセキュリティの常識が定まっていない印象があります。
自分たちで固定資産として管理するのではなく、原価のようにシステムが扱えるような、システムをクラウドで持っている方がビジネス的にもいいよねという空気ではあるんですけどね。数年前に比べたらクラウド上にデータを持つことへの抵抗感がなくなってきてはいるとはいえ、それでもまだまだかなと思っています。世の中の動きに合わせて対応して行くつもりです。

Q:イープラスではさまざまなセキュリティ対策やインフラの改善を実施していますが、そのなかで小西様の感じているやりがいを教えてください。
A:弊社のようなチケット販売の事業だと、通常では考えられないような規模のスパイクトラフィックが発生するんですね。おそらく他の事業ではこんな突発的で大規模なものは発生しないと思います。それをサービスに影響がないように色々な仕掛けや工夫をして安定させるということにやりがいを感じています。
その方法は企業秘密でもあるので公表はできませんが（笑）、ある意味特殊な技術を学んだり経験できるわけです。
外注のベンダーさんと協力してサービスの安定を目指していくなかで、各社が持ってるノウハウを共有してもらいながら、弊社のビジネスに応用させていくという楽しさもあります。中にはすごい技術やスキルを持った人と仕事をする機会もあるので、そういう点も非常に面白いと感じています。
チケットの転売が問題になっていて、その対策は今まさに取り組んでいるものの一つです。より多くのお客様が公平にチケットを得ることができるように機械学習を取り入れたシステム開発を行っていこうとしています。
これからもたくさんのお客様に満足してもらえるようなサービスを提供していきたいです。

セキュアな環境はこうしてできるというお手本のような取り組みをお話しいただきました。物理層とネットワーク層で徹底したセキュリティ対策を行うことは、チケットを購入するユーザーにとって安全や安心につながります。
とはいえ、セキュリティ対策を強化するごとに社内の手間が増える可能性もあるため、社員の負担にならないような工夫がもっと必要だと熱く語る姿が印象的でした。外部の企業と連携をすることで様々なノウハウを得ることができ、エンジニアとしても成長ができる環境があると感じました。
チケット販売の公平性担保や不正転売の撲滅など、今まさに取り組んでいる課題をどう解決していくのか。今後もイープラスの取り組みを追っていきたいと思います！

当サイト「CyberSecurityTIMES」を運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。

専門家によるサポートも充実しておりますので、お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。