開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2017/03/30

ゴルフダイジェスト・オンラインがたどり着いた減災重視の3つのセキュリティ対策

きっかけは2008年のSQLインジェクション攻撃だった。当時、ゴルフダイジェスト・オンラインが保有するデータの一部が改ざんされ、マルウェア感染につながる恐れのあるメールが会員に送信された。ここからセキュリティ対策を抜本的に見直した同社は、「脅威を抑制しながら、攻撃・侵入されても被害を最小限に抑える『減災』」をテーマに改革を行った。同社 経営戦略本部 インフラマネジメント室 シニアプロジェクトマネージャー 長倉勉氏が、同社が行う3つのセキュリティ対策を具体的に紹介する。

フリーランスライター 吉田育代

フリーランスライター 吉田育代

企業情報システムや学生プログラミングコンテストなど、主にIT分野で活動を行っているライター。著書に「日本オラクル伝」(ソフトバンクパブリッシング)、「バックヤードの戦士たち―ソニーe調達プロジェクト激動の一一〇〇日 」(ソフトバンクパブリッシング)、「まるごと図解 最新ASPがわかる」(技術評論社)、「データベース 新たな選択肢―リレーショナルがすべてじゃない」(共著、英治出版)がある。全国高等専門学校プログラミングコンテスト審査員。趣味は語学。英語と韓国語に加えて、今はカンボジア語を学習中。

photo
ゴルフダイジェスト・オンラインが実践するセキュリティ対策とは
(© duncanandison – Fotolia)



攻撃を受けた経験から、減災重視のセキュリティ対策へ

画像
ゴルフダイジェスト・オンライン
経営戦略本部
インフラマネジメント室
シニアプロジェクトマネージャー
長倉勉氏
 ゴルフダイジェスト・オンラインは、ゴルフに関わるコンテンツやサービスを提供する事業者である。

「ゴルフで世界をつなぐ」をミッションに、ゴルフ用品のEコマースを始めとしたリテールビジネス、インターネットや電話でゴルフ場が予約できるゴルフ場ビジネス、ゴルフ関連のニュースを提供するメディアサービスといった3つの事業を展開している。

 取り扱い商品点数は、新品約10万点、中古約2万点、提携ゴルフ場数2000コース以上、Webサイトの月間PVは1.1億、GDOクラブの会員数は304万人と、その充実ぶりが光る。今日ではまた3事業間の有機的な連携を促進し、新しいゴルフスタイルを創造して、ゴルファーの満足を最大化することを目指している。

 同社がセキュリティ対策に本腰を入れるきっかけとなったのは、2008年9月に発生した外部攻撃だった。会員データベースがSQLインジェクション攻撃を受けたのだ。

関連記事
 データが一部改ざんされ、会員に対してマルウェアに感染する危険のある不正URLを含むメールが送られてしまった。このセキュリティ事故の対応に全社を挙げて当たらざるを得なかった経験から、同社はシステムを全面的に見直すことを決断する。

 それとともに、新規システム開発時のセキュリティ遵守、定期的なセキュリティ診断、WAFやログ監視、SOC対応といった多層防御で脅威に備える施策を推進することにした。

 こうした新たな視点で同社のこれまでのセキュリティを振り返ってみて、長倉氏が気づいたことが1つあるという。それは、攻撃された・侵入されたあとの対策がなかったということだ。

 攻撃が巧妙化、高度化する今日、攻撃を受けないようにする対策だけでは十分ではなく、これからは「攻撃・侵入は行われる」と覚悟するべきだと痛感したという。そして、攻撃・侵入されても被害を最小限に抑える「減災」のための施策が必要だというのが長倉氏の考えだ。

画像
攻撃・侵入を前提とした「減災」という視点が重要
(出典:ゴルフダイジェスト・オンライン資料)


対策 その1:怪しいメールは「隔離」する

 ここからは、同社が採用した対策を紹介する。

 まずはメールセキュリティだ。この分野では、外部からの脅威を防ぎ、万が一侵入されても検知・分析できるように、フィルタリングして迷惑メールと判断したものを「隔離」して、隔離用メールボックスに格納した。隔離されたメールに関する状況は、送信先となっているユーザーにレポートとして送られる。ユーザーは1通ごとに中身を開いて確認できるが、開いただけで感染するウイルスや不正なスクリプトの実行はシステム側で抑止してくれるという。

 また、電子メールは関税法で5年間の保存が義務づけられていることから、同社ではアーカイブにも力を入れている。全文検索できる形でアーカイブストレージに格納しており、万一のことがあっても迅速に見つけ出すことができる。さらにメールデータにはハッシュ値が記録されているため、検索したメールが改ざんされているか検証・照合することも可能だそうだ。

【次ページ】罠を仕掛けて、攻撃を捕捉・可視化する対策とは?

標的型攻撃 ジャンルのトピックス

標的型攻撃 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!