攻撃を受けた経験から、減災重視のセキュリティ対策へ

　ゴルフダイジェスト・オンラインは、ゴルフに関わるコンテンツやサービスを提供する事業者である。

「ゴルフで世界をつなぐ」をミッションに、ゴルフ用品のEコマースを始めとしたリテールビジネス、インターネットや電話でゴルフ場が予約できるゴルフ場ビジネス、ゴルフ関連のニュースを提供するメディアサービスといった3つの事業を展開している。

　取り扱い商品点数は、新品約10万点、中古約2万点、提携ゴルフ場数2000コース以上、Webサイトの月間PVは1.1億、GDOクラブの会員数は304万人と、その充実ぶりが光る。今日ではまた3事業間の有機的な連携を促進し、新しいゴルフスタイルを創造して、ゴルファーの満足を最大化することを目指している。

　同社がセキュリティ対策に本腰を入れるきっかけとなったのは、2008年9月に発生した外部攻撃だった。会員データベースがSQLインジェクション攻撃を受けたのだ。

　データが一部改ざんされ、会員に対してマルウェアに感染する危険のある不正URLを含むメールが送られてしまった。このセキュリティ事故の対応に全社を挙げて当たらざるを得なかった経験から、同社はシステムを全面的に見直すことを決断する。

　それとともに、新規システム開発時のセキュリティ遵守、定期的なセキュリティ診断、WAFやログ監視、SOC対応といった多層防御で脅威に備える施策を推進することにした。

　こうした新たな視点で同社のこれまでのセキュリティを振り返ってみて、長倉氏が気づいたことが1つあるという。それは、攻撃された・侵入されたあとの対策がなかったということだ。

　攻撃が巧妙化、高度化する今日、攻撃を受けないようにする対策だけでは十分ではなく、これからは「攻撃・侵入は行われる」と覚悟するべきだと痛感したという。そして、攻撃・侵入されても被害を最小限に抑える「減災」のための施策が必要だというのが長倉氏の考えだ。

対策 その1：怪しいメールは「隔離」する

　ここからは、同社が採用した対策を紹介する。

　まずはメールセキュリティだ。この分野では、外部からの脅威を防ぎ、万が一侵入されても検知・分析できるように、フィルタリングして迷惑メールと判断したものを「隔離」して、隔離用メールボックスに格納した。隔離されたメールに関する状況は、送信先となっているユーザーにレポートとして送られる。ユーザーは1通ごとに中身を開いて確認できるが、開いただけで感染するウイルスや不正なスクリプトの実行はシステム側で抑止してくれるという。

　また、電子メールは関税法で5年間の保存が義務づけられていることから、同社ではアーカイブにも力を入れている。全文検索できる形でアーカイブストレージに格納しており、万一のことがあっても迅速に見つけ出すことができる。さらにメールデータにはハッシュ値が記録されているため、検索したメールが改ざんされているか検証・照合することも可能だそうだ。

【次ページ】罠を仕掛けて、攻撃を捕捉・可視化する対策とは？