ウェブ改ざんにより全サイトを1ヵ月停止
「GREDを導入していればもっと早急に対応できたはず」
―――現在、ワコールのECサイトではウェブ改ざん検知ソリューション「GRED」を導入されているとのことですが、導入に至った経緯を教えてください。
藪下 今から10年ほど前、ワコールでは不正アクセスにより情報漏洩事故が起こりました。その一件をきっかけに、会社としてはできうる限りのセキュリティ対策をしていたという自負があったのですが、2014年に第三者からの不正アクセスにより一部サイトが改ざんされていたことが判明。自社ECサイトをはじめ、ワコールグループ各社企業サイト、ブランドサイトなどを、1ヵ月間ストップしなければいけないという事態が発生しました。今までの対策では足りないことを痛感するとともに、私たちはセキュリティ対策を一から見直す必要に迫られました。まずは早急にウェブ改ざん検知の仕組みを探さなければとソリューションの検討をはじめ、そこで行き着いたのがGREDです。
加茂 己の身にこのような事態が降りかかったことで、会社として、より一層セキュリティ対策に力を入れるようになりました。4年ほど経過した今も、セキュリティへの関心は薄れていません。
―――では、ソリューションの中で、なぜGREDを選ばれたのでしょうか?
藪下 その事故の直後、サイトのソースコードに意図しないものが入っていないかを確認するために、ソースのクレンジングをしたいと考えていました。そこでGREDを導入する前に、「まずはワコールホールディングス全サイトのソースを洗い直してほしい」という依頼をさせていただき、GREDを使って1~2ヵ月かけて全ソースを確認していただきました。その時のご対応が良かったことや、サイトのURLを登録するだけでスピーディーにサービスの利用を開始できるといった点に魅力を感じ、GREDを導入することに決めました。
また私たちは、オンプレミスとクラウドの2種類があるGREDの中で、クラウドの製品を選びました。サーバーを用意するとなると、その運用やメンテナンスもあわせて行う必要があるので、手軽に始めることができるクラウド製品は、私たちにとってメリットが大きかったですね。
加茂 私たちが想像していたよりも比較的コストがかからなかったという点も、決め手のひとつです。
―――実際に導入されてみていかがでしたか?
加茂 GREDは毎日自動的にサイトを巡回しており、実際にスキャンを行う回数についても事前に設定すればすべて自動でチェックしてくれます。また、レポートも定期的にあがってくるので、手間がかからず非常に助かっています。手を動かさなければならないのは、検知結果の確認くらいですね。検知された内容が問題ないものかどうかを確認する作業です。
―――GREDを導入されて何か変わったことはありますか?
加茂 やはり、安心できるようになったということでしょうか。今思えば、2014年の事故は、GREDを導入していれば、もっと迅速に対応できていたのではないかと思います。サイトに不審な動きがあったとしても、翌日にGREDからアラートメールが届くことで、もっと早く手を打つことができていたはず。GREDを導入したことによって、「何かあってもしっかり検知してくれるから大丈夫」という安心感があるのはとてもありがたいですね。
