守りの施策の代表格「セキュリティ対策」をワコールと考える
「ECサイトのセキュリティ対策は万全ですか?」そう尋ねられた時に、まったく問題ありません、と即答することができるだろうか。もし少しでも回答に迷いがあるのなら、一度セキュリティ対策を見直す必要があるかもしれない。
老舗下着メーカー「ワコール」では、セキュリティ対策のひとつとして、ウェブ改ざん検知ソリューション「GRED Web改ざんチェック (以下、GRED)」を導入している。サイトの自動巡回、改ざんを検知された場合のアラートメール送信やソースコードの特定などを行うことができるサービスである。セキュアブレイン社が提供するこのサービスは、サイバーエージェント、JCBをはじめ、5,000社以上が採用している。
もちろん、GREDが検知するようなサイバー攻撃や不正アクセスがないに越したことはない。だが万が一、ECサイトがサイバー攻撃を受けた時に、迅速に対応することができなかったら。万が一、ウェブ改ざんをされた時に、適切な処置をすることができなかったら。ECサイトがいちばんの核であるEC事業者にとって、それらの対応が遅れることは致命傷になりかねない。
コンバージョンや売上などに直接結びつくことはない、“守り”の施策の代表格「セキュリティ」。EC事業者が考えるべきセキュリティ対策について、藪下さんと加茂さんに話を聞いた。
株式会社ワコール 情報システム部 小売情報システム課 加茂優里さん(左)
―――まずはおふたりの担当されている業務内容をお聞かせください。
藪下 私は株式会社ワコールホールディングスの経営企画部で、情報セキュリティ推進担当として、ワコールをはじめ、ピーチ・ジョンや三愛水着楽園を展開するAiなど、約20社ほどあるグループ会社全体のセキュリティ推進を行っています。
加茂 私は株式会社ワコールの情報システム部小売情報システム課に所属しています。主にBtoCチャネルのシステム業務を行っており、店舗やウェブ、カタログ通販など、お客様の購買に関わるシステムを見ている部門です。
―――ワコールのECサイトについて教えていただけますか?
加茂 ワコールでは2000年にワコールウェブストアの前身となるECサイトを立ち上げました。会社の中期経営計画として、ECサイトを重点チャネルと定義し、お客様の利便性向上のため、積極的に機能強化を図っています。それとともに、実店舗とのシナジーを発揮するべくオムニチャネルサービスの実現も進めています。
ワコールといえば、百貨店で購入前に試着をすることができたり、店舗でプロの販売員からアドバイスをもらえる点も魅力のひとつです。一方、ECネイティブの方々にとっては、気軽にウェブで購入できることを望まれることも多い。そういった方々のニーズに応えるべく、サイトの利便性向上やサービス強化を行いました。
ウェブ改ざんにより全サイトを1ヵ月停止
「GREDを導入していればもっと早急に対応できたはず」
―――現在、ワコールのECサイトではウェブ改ざん検知ソリューション「GRED」を導入されているとのことですが、導入に至った経緯を教えてください。
藪下 今から10年ほど前、ワコールでは不正アクセスにより情報漏洩事故が起こりました。その一件をきっかけに、会社としてはできうる限りのセキュリティ対策をしていたという自負があったのですが、2014年に第三者からの不正アクセスにより一部サイトが改ざんされていたことが判明。自社ECサイトをはじめ、ワコールグループ各社企業サイト、ブランドサイトなどを、1ヵ月間ストップしなければいけないという事態が発生しました。今までの対策では足りないことを痛感するとともに、私たちはセキュリティ対策を一から見直す必要に迫られました。まずは早急にウェブ改ざん検知の仕組みを探さなければとソリューションの検討をはじめ、そこで行き着いたのがGREDです。
加茂 己の身にこのような事態が降りかかったことで、会社として、より一層セキュリティ対策に力を入れるようになりました。4年ほど経過した今も、セキュリティへの関心は薄れていません。
―――では、ソリューションの中で、なぜGREDを選ばれたのでしょうか?
藪下 その事故の直後、サイトのソースコードに意図しないものが入っていないかを確認するために、ソースのクレンジングをしたいと考えていました。そこでGREDを導入する前に、「まずはワコールホールディングス全サイトのソースを洗い直してほしい」という依頼をさせていただき、GREDを使って1~2ヵ月かけて全ソースを確認していただきました。その時のご対応が良かったことや、サイトのURLを登録するだけでスピーディーにサービスの利用を開始できるといった点に魅力を感じ、GREDを導入することに決めました。
また私たちは、オンプレミスとクラウドの2種類があるGREDの中で、クラウドの製品を選びました。サーバーを用意するとなると、その運用やメンテナンスもあわせて行う必要があるので、手軽に始めることができるクラウド製品は、私たちにとってメリットが大きかったですね。
加茂 私たちが想像していたよりも比較的コストがかからなかったという点も、決め手のひとつです。
―――実際に導入されてみていかがでしたか?
加茂 GREDは毎日自動的にサイトを巡回しており、実際にスキャンを行う回数についても事前に設定すればすべて自動でチェックしてくれます。また、レポートも定期的にあがってくるので、手間がかからず非常に助かっています。手を動かさなければならないのは、検知結果の確認くらいですね。検知された内容が問題ないものかどうかを確認する作業です。
―――GREDを導入されて何か変わったことはありますか?
加茂 やはり、安心できるようになったということでしょうか。今思えば、2014年の事故は、GREDを導入していれば、もっと迅速に対応できていたのではないかと思います。サイトに不審な動きがあったとしても、翌日にGREDからアラートメールが届くことで、もっと早く手を打つことができていたはず。GREDを導入したことによって、「何かあってもしっかり検知してくれるから大丈夫」という安心感があるのはとてもありがたいですね。
後手に回りがちなセキュリティ対策も、
「万全な状態と言えないのならすぐに対策を」
――セキュリティ対策は、直接ECの売上や成果につながるものではないため、つい後手に回ってしまうことも多いのではないかと思います。EC事業者がウェブ改ざん検知ソリューション導入をはじめとしたセキュリティ対策を行うべき理由や、そういったサービスの導入を検討している企業にアドバイスをお願いします。
藪下 私たちが体験したような事故は頻繁に起こるものではないので、当事者意識を持つのはなかなか難しいと思います。ですが、サイトやサーバー、使っているECパッケージの脆弱性やバージョンを完璧に管理できていますか?と聞かれた時に、もしひとつでも万全な状態と言うことができないのであれば、ソリューションを導入するなど、すぐにできる限りの対策を取ったほうがいい。まだできることがあるにも関わらず、対策を完璧にせずにサイトを止めるのか、早めにしかるべきソリューションを導入して、もし何かあったとしてもすぐに対応して最小限に食い止めるのか。この差は本当に大きいと思います。
―――今後おふたりは、セキュリティ対策にどのように取り組んでいかれたいですか?
藪下 2018年からワコールも、セキュリティインシデントに対する効果的・迅速な対応を行い、一丸となってセキュリティ脅威へ対応していくため、Wacoal-SIRT(Wacoal Security Incident Response Team)を構築し、「日本シーサート協議会」に加盟しました。加盟されている様々な企業との横のつながりを密にし、どういった製品やサービスを使えばより安全なセキュリティシステムを構築できるのかを考えていければと思っています。
また個人としては、社内でセキュリティに関わる人間をもうすこし増やしていきたいですね。加茂が所属する小売情報システム課と一緒にセキュリティの知識レベルを上げて、セキュリティに強い組織づくりに取り組んでいきたいです。
加茂 セキュリティを高めることに工数をとられすぎることなくサイトを運用することができる、というのがEC事業者にとってはひとつの理想形ではないでしょうか。セキュリティ対策はなるべくサービスを活用して、お客様とのコミュニケーションに注力することができるよう、GREDを活用していきたいと思います。
