• 会員限定
  • 2017/03/30 掲載

ゴルフダイジェスト・オンラインがたどり着いた減災重視の3つのセキュリティ対策

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
きっかけは2008年のSQLインジェクション攻撃だった。当時、ゴルフダイジェスト・オンラインが保有するデータの一部が改ざんされ、マルウェア感染につながる恐れのあるメールが会員に送信された。ここからセキュリティ対策を抜本的に見直した同社は、「脅威を抑制しながら、攻撃・侵入されても被害を最小限に抑える『減災』」をテーマに改革を行った。同社 経営戦略本部 インフラマネジメント室 シニアプロジェクトマネージャー 長倉勉氏が、同社が行う3つのセキュリティ対策を具体的に紹介する。

執筆:フリーランスライター 吉田育代

執筆:フリーランスライター 吉田育代

企業情報システムや学生プログラミングコンテストなど、主にIT分野で活動を行っているライター。著書に「日本オラクル伝」(ソフトバンクパブリッシング)、「バックヤードの戦士たち―ソニーe調達プロジェクト激動の一一〇〇日 」(ソフトバンクパブリッシング)、「まるごと図解 最新ASPがわかる」(技術評論社)、「データベース 新たな選択肢―リレーショナルがすべてじゃない」(共著、英治出版)がある。全国高等専門学校プログラミングコンテスト審査員。趣味は語学。英語と韓国語に加えて、今はカンボジア語を学習中。

photo
ゴルフダイジェスト・オンラインが実践するセキュリティ対策とは
(© duncanandison – Fotolia)



攻撃を受けた経験から、減災重視のセキュリティ対策へ

画像
ゴルフダイジェスト・オンライン
経営戦略本部
インフラマネジメント室
シニアプロジェクトマネージャー
長倉勉氏
 ゴルフダイジェスト・オンラインは、ゴルフに関わるコンテンツやサービスを提供する事業者である。

「ゴルフで世界をつなぐ」をミッションに、ゴルフ用品のEコマースを始めとしたリテールビジネス、インターネットや電話でゴルフ場が予約できるゴルフ場ビジネス、ゴルフ関連のニュースを提供するメディアサービスといった3つの事業を展開している。

 取り扱い商品点数は、新品約10万点、中古約2万点、提携ゴルフ場数2000コース以上、Webサイトの月間PVは1.1億、GDOクラブの会員数は304万人と、その充実ぶりが光る。今日ではまた3事業間の有機的な連携を促進し、新しいゴルフスタイルを創造して、ゴルファーの満足を最大化することを目指している。

 同社がセキュリティ対策に本腰を入れるきっかけとなったのは、2008年9月に発生した外部攻撃だった。会員データベースがSQLインジェクション攻撃を受けたのだ。

関連記事
 データが一部改ざんされ、会員に対してマルウェアに感染する危険のある不正URLを含むメールが送られてしまった。このセキュリティ事故の対応に全社を挙げて当たらざるを得なかった経験から、同社はシステムを全面的に見直すことを決断する。

 それとともに、新規システム開発時のセキュリティ遵守、定期的なセキュリティ診断、WAFやログ監視、SOC対応といった多層防御で脅威に備える施策を推進することにした。

 こうした新たな視点で同社のこれまでのセキュリティを振り返ってみて、長倉氏が気づいたことが1つあるという。それは、攻撃された・侵入されたあとの対策がなかったということだ。

 攻撃が巧妙化、高度化する今日、攻撃を受けないようにする対策だけでは十分ではなく、これからは「攻撃・侵入は行われる」と覚悟するべきだと痛感したという。そして、攻撃・侵入されても被害を最小限に抑える「減災」のための施策が必要だというのが長倉氏の考えだ。

画像
攻撃・侵入を前提とした「減災」という視点が重要
(出典:ゴルフダイジェスト・オンライン資料)


対策 その1:怪しいメールは「隔離」する

 ここからは、同社が採用した対策を紹介する。

 まずはメールセキュリティだ。この分野では、外部からの脅威を防ぎ、万が一侵入されても検知・分析できるように、フィルタリングして迷惑メールと判断したものを「隔離」して、隔離用メールボックスに格納した。隔離されたメールに関する状況は、送信先となっているユーザーにレポートとして送られる。ユーザーは1通ごとに中身を開いて確認できるが、開いただけで感染するウイルスや不正なスクリプトの実行はシステム側で抑止してくれるという。

 また、電子メールは関税法で5年間の保存が義務づけられていることから、同社ではアーカイブにも力を入れている。全文検索できる形でアーカイブストレージに格納しており、万一のことがあっても迅速に見つけ出すことができる。さらにメールデータにはハッシュ値が記録されているため、検索したメールが改ざんされているか検証・照合することも可能だそうだ。

【次ページ】罠を仕掛けて、攻撃を捕捉・可視化する対策とは?

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます