top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

導入事例

Company

導入サービス

■タイガーチームサービス
・Webアプリケーション診断
・プラットフォーム診断

■情報セキュリティコンサルティング(ISO27001(ISMS)認証取得支援 含む)

プロローグ

タイガーチームサービス導入経緯

― GSXのサービスを受けられたきっかけを教えてください。

中国からのハッキングによる、個人情報流出事件に端を発します。
情報漏えい後、通販サイトの運営企画を行うカスタマーサービス事業部が中心となり、総務部、法務部のメンバーを加えて、緊急対応プロジェクトチームが発足しました。ファンのために、即時コールセンターを立ち上げ20?30名を充当し対応しました。
一方で、当時アミューズが運用していたシステムは、部署毎に各々必要なシステムを利用し運用管理していくスタイルでした。ほぼ全てのシステムがアウトソーシングされ、社内システム全体を見渡せる人員もいませんでした。

― そのような危機的状況の中、どうやって実際に対応していったのでしょうか?

プロジェクトでは大手セキュリティ会社に緊急対応のコンサルティングを依頼し、不正アクセスのログ解析を急いでもらいました。その痕跡を発見すると即時遮断してもらいました。その時行ったシステムの脆弱性診断で、脆弱性が見つかりました。

委託業者にまかせっきりのバラバラのシステムを、一人の人間が全てを把握するのは大変な作業です。しかも、システム運用もオペレーションも誰も把握していない状況が物語るように、社内全体がバラバラで危機的状況でした。
そこでまずは、『把握する』ことに重点を置き、業務の内製化へとシステム改革を推し進めていったのです。時代の流れからは180度方向転換し、後退するように見えるかもしれません。ですが、同じ過ちを二度と起こさないためにも、全てのシステムを統合し、なおかつ堅牢なセキュリティ対策を施し、再構築する必要性がありました。

実はGSXが担当する以前、事故発生時に脆弱性診断を実施した大手セキュリティ会社から、システム再構築自体の提案も受けていました。私自身、構築と診断を同じ会社が受け持つことに疑問を感じていて、やはり診断は、第三者による客観的な診断に基づいて公正に行われるべきであると判断しました。
そこで、システム構築と脆弱性診断を行う会社とは切り離して検討することにしたのです。

GSXを選定した理由

― なるほど、GSXが関わるきかっけがこの時だったんですね。
GSXの脆弱性診断サービス『タイガーチームサービス』をそれまでご存知でしたか?

ええ。よく耳にするサービス名でしたので実績も多いイメージがありますね。いい機会なので脆弱性診断の提案を依頼してみました。正直びっくりしましたね。診断だけにとどまらず、情報資産の棚卸→脆弱性診断→可視化→社員教育といったワンストップのコンサルティング提案を持って来て、説明が始まりました。この提案で、当初個別に考えていた対応策から、時間・手間・コストを大幅に削減できることを確信できました。こういった、将来のあるべき姿を見据えた上で何をしていくべきかが明確な提案は、GSXを選定する上で大きなポイントとなりました。

― ありがとうございます!タイガーチームサービスによるWebアプリケーション診断とプラットフォーム診断を受けられましたが、いかがでしたか?

単体・統合テストなどのテストフェーズで開発したシステムに対して脆弱性診断を行ってもらいました。この時点でも脆弱性が見つかりました。リリース前ですから、細心の注意を払ってこの脆弱性を完全に潰しこめるまで潰しこんでいきました。

技術的アドバンテージや、詳細に行われる手動診断の魅力もさることながら、診断前の緻密な診断計画に加え、診断後、診断結果と問題点だけを提示して終わる報告会ではなく、問題に対する対応策を明確に提示した上で、優先度(緊急性)を踏まえた具体的なアドバイスをくれました。弊社に非常にフィットしていたと言えます。
その後、EC、FC、在庫などの主に個人情報を保有しているシステムを刷新し、2010年4月に新システムを稼働開始しました。

GSXを選択して良かったポイント

― GSXを選んで良かった点は何だと思いますか?

GSXの脆弱性診断サービスと情報セキュリティに関するコンサルティングは、弊社全体の情報セキュリティに対する危機意識を変えていきました。実際、システムが稼働する前は、情報資産の棚卸だけで四苦八苦。今まで私たちはこれらの情報資産にあまりにも無関心すぎました。良かった点ですね。もちろんあります。

などでしょうか。現在でも、セキュリティ強化の側面からもログ分析でアドバイスをいただくなどお世話になっています。今では、GSXに対して信頼を寄せていますよ。

そして、私たちのチャレンジでもありましたが2010年12月には、ISO27001(ISMS)を取得しました。社員の意識改革が全社に浸透してきた証拠でもあると言えます。
また、今回の事故で迷惑をかけてしまったアーティストやファンへの信頼回復、アミューズを支えてくれるステークホルダーに対して『企業として責任を果たす』ということを、明示することができたのではないかと思います。

GSXへ期待すること

― 最後にGSXに今後期待することなどありましたらお聞かせください。

タイガーチームサービスの診断結果がシステム運用者の端末で把握できるようなツールがあればいいですね。例えば、タイガーチームサービスが実施する診断サービスやサーバセキュリティ情報診断、リアルタイム監視サービスなどの結果が表示され、状況をリアルタイムで把握できると面白い。また、他のシステムへのキックも合わせて一つの画面で行い、確認できるようなポータルが実現できれば最高ですね。

― アミューズが取り組む情報セキュリティの姿勢と目線は、着実に前進していると感じることができます。さすがアミューズですね。“ライブイズム”溢れるアイデア満載のご意見をいただき、襟を正さなくてはと思いました。今後もサービスの充実を図って参ります。お忙しいところありがとうございました。

キーポイント

「個人情報流出が発生した日から現在までに見えてきたことは、「世の中のASPサービスに完璧なものはない」ということでした。安易に社内システムをアウトソーシングしてきた私達も危機管理意識が足りませんでした。安全な環境を作り守っていくために『把握する』ことの大切さを学んだのです」
(株式会社アミューズ 大西氏)

Company Profile

会社名
株式会社アミューズ

本社所在地
東京都渋谷区桜丘町20番1号
設立
1978年(昭和53年)10月16日
資本金
1,587,825,000円
従業員数
203人(アミューズグループ 247人) ※パートおよび嘱託職員は含んでいません
事業内容
アーティストマネージメント業、コンテンツ制作事業
イベント運営、版権事業、広告代理店業など

導入サービス概要

Webアプリケーション診断では、現在稼働しているWebアプリケーションに対し攻撃者の視点から、Webアプリケーションを悪用して個人情報の取得やWebサイトの改ざんなどが発生しそうな脆弱なポイントを洗い出し、Webアプリケーションにおけるセキュリティ上の問題の有無を調査します。GSXでは、Webアプリケーションに負荷をかけず、手作業による正確で精密な診断を行います。

プラットフォーム診断では、情報システムに対して擬似攻撃を行い、情報システムに内在する脆弱性を洗い出します。特定のネットワーク機器への診断や、特別な侵入方法での診断も行います。これにより、検出された脆弱性に対策を実施することで、情報システムのセキュリティレベルを維持・向上をさせることが可能になります。

ISO27001(ISMS)認証取得支援では、既存の仕組みを活かしつつ、実態にあった仕組みづくりを支援し、最小限の作業でISO/IEC27001(JISQ27001)の認証取得ができるようお手伝いします。お客様の情報セキュリティ上のリスクを可視化(見える化)することにより、ISMS構築支援を行うので経営に役立ちます。

株式会社 アミューズ 様 導入事例紹介リーフレット

Pagetop