ウェブ攻撃対策からグローバル化--ヤマハ発動機が語るCSIRTの軌跡 - (page 2)

國谷武史 (編集部)

2017-03-15 07:00

ガイドラインと診断からITインフラの堅牢化

 同社におけるウェブサイトのセキュリティ対策の取り組みは、3つのフェーズで進められた。1990年代後半からの第1フェーズでは、インフラ面におけるシステムの設定やパッチ適用などに関するガイドラインを策定し、1年ごとに脆弱性診断を実施するようにした。

 この当時は、サイトのトップページが改ざんされる被害が多く、SQLインジェクション攻撃によって情報が漏えいしかねないリスクにもさらされた。対策に取り組む過程から、先進国市場の拠点ではウェブサイトのセキュリティが進んでいたものの、それ以外では遅れている実態が分かってきたという。また、IT部門がセキュリティを呼び掛けても、拠点のウェブ担当者が十分に理解できなかったり、外部委託先に対策が十分に浸透していなかったりといった課題も浮上する。

 第2フェーズでは、第1フェーズの状況を受けてガイドラインの見直しや診断の強化を進めた。ガイドラインではインフラに加えて、セキュアコーディングによるコンテンツの脆弱性の排除を推進し、脆弱性診断では実施頻度を年次から月次とすることで、問題の発見と対応を迅速化している。


フェーズ2における対策の変更点
 また、対策を抜本的に見直すべくサイバーをITリスクの1つとして位置付け、ウェブサイトのセキュリティ対策を全社規模のリスク管理体制に組み込む。2006年には、日本本社を中心に世界7地域によるグローバルのITガバナンス体制も構築した。

 しかしながら、ウェブサイトに対するサイバー攻撃が増加し、IT部門では毎月発生するインシデントの調査や対応に追われる状況となった。そこで2010年から2011年にかけてウェブアプリケーションファイアウォール(WAF)の導入に踏み切る。「当時のWAFは高額で使いづらいという評価が聞かれたものの、世界中にある多数のウェブサイトをすぐに保護しなければならい状況から導入を決めた」(原子氏)

 WAFの導入では、拠点のドメインやDNSの担当者が分かりづらかったり、海外ベンダーとの英語によるやり取りが煩雑だったりするなどの難しさがあった。遠方の拠点ではWAFによるレスポンスの低下も懸念された。だがWAF導入後は、2016年後半までインシデントの発生がゼロ件と、大きな効果を得た。

 この頃はウェブサイトインフラのクラウド化も進んでおり、WAFの導入によって、クラウドに構築しているサイトの管理や防御の難しさも見えてきたという。WAF導入後に唯一発生したインシデントは、他社のウェブサイトに対する攻撃が同社のサイトにも影響しえてしまったというものだった。「ホスト先の全てのサイトにWAFを導入しておかなければ、攻撃に巻き込まれてしまう。また、WAFで防御策を講じているとはいえ、脆弱性が無くなるわけではない」(原子氏)


WAF導入におけるポイント

 WAFの導入によってウェブサイトのセキュリティレベルが向上したことから、同社はさらに積極的なセキュリティ対策を実施できるよう、2013年11月にYMC-CSIRTを立ち上げた。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]