株式会社アミューズ 様|Webアプリケーション診断・プラットフォーム診断・ISO27001(ISMS)認証取得支援

株式会社アミューズ様は、2009年9月、自社通販サイトが中国からのハッキングに遭う事件に遭遇されました。この事件をきっかけに、GSXのサービスを活用、セキュリティ体制を高度化されました。

Case Study
株式会社 アミューズ 様

株式会社 アミューズ 様

株式会社アミューズ(以下、アミューズ)は、「感動だけが人の心を撃ち抜ける」という企業理念を掲げ、“ライブイズム”を原点としながら、「人々に夢と感動を届け続ける」というコンテンツホルダーとして歩み続ける総合エンターテインメント企業です。近年では、アジアへの展開も進めており、エンターテインメントのグローバル化を目指しています。

目次

導入サービス

■タイガーチームサービス

Webアプリケーション診断
プラットフォーム診断

■情報セキュリティコンサルティング(ISO27001(ISMS)認証取得支援 含む)

プロローグ
大西 善雄 氏

株式会社 アミューズ 様
2009年9月、自社通販サイトが中国からのハッキングに遭う事件が発生しました。多くのアーティストを抱えるアミューズは、漏えいした会員に対してクオカードを送付し謝罪を行いました。
この事件をきっかけに、アミューズがGSXのサービスをどのように活用していったのかを、同社IT管理プロジェクト 次長の大西氏にお伺いしました。
株式会社アミューズ IT企画部 大西 善雄 氏

タイガーチームサービス導入経緯

― GSXのサービスを受けられたきっかけを教えてください。


中国からのハッキングによる、個人情報流出事件に端を発します。
情報漏えい後、通販サイトの運営企画を行うカスタマーサービス事業部が中心となり、総務部、法務部のメンバーを加えて、緊急対応プロジェクトチームが発足しました。ファンのために、即時コールセンターを立ち上げ20〜30名を充当し対応しました。
一方で、当時アミューズが運用していたシステムは、部署毎に各々必要なシステムを利用し運用管理していくスタイルでした。ほぼ全てのシステムがアウトソーシングされ、社内システム全体を見渡せる人員もいませんでした。


― そのような危機的状況の中、どうやって実際に対応していったのでしょうか?


プロジェクトでは大手セキュリティ会社に緊急対応のコンサルティングを依頼し、不正アクセスのログ解析を急いでもらいました。その痕跡を発見すると即時遮断してもらいました。その時行ったシステムの脆弱性診断で、脆弱性が見つかりました。

委託業者にまかせっきりのバラバラのシステムを、一人の人間が全てを把握するのは大変な作業です。しかも、システム運用もオペレーションも誰も把握していない状況が物語るように、社内全体がバラバラで危機的状況でした。
そこでまずは、『把握する』ことに重点を置き、業務の内製化へとシステム改革を推し進めていったのです。時代の流れからは180度方向転換し、後退するように見えるかもしれません。ですが、同じ過ちを二度と起こさないためにも、全てのシステムを統合し、なおかつ堅牢なセキュリティ対策を施し、再構築する必要性がありました。

実はGSXが担当する以前、事故発生時に脆弱性診断を実施した大手セキュリティ会社から、システム再構築自体の提案も受けていました。私自身、構築と診断を同じ会社が受け持つことに疑問を感じていて、やはり診断は、第三者による客観的な診断に基づいて公正に行われるべきであると判断しました。
そこで、システム構築と脆弱性診断を行う会社とは切り離して検討することにしたのです。

GSXを選定した理由

― なるほど、GSXが関わるきかっけがこの時だったんですね。
GSXの脆弱性診断サービス『タイガーチームサービス』をそれまでご存知でしたか?


ええ。よく耳にするサービス名でしたので実績も多いイメージがありますね。いい機会なので脆弱性診断の提案を依頼してみました。正直びっくりしましたね。診断だけにとどまらず、情報資産の棚卸→脆弱性診断→可視化→社員教育といったワンストップのコンサルティング提案を持って来て、説明が始まりました。この提案で、当初個別に考えていた対応策から、時間・手間・コストを大幅に削減できることを確信できました。こういった、将来のあるべき姿を見据えた上で何をしていくべきかが明確な提案は、GSXを選定する上で大きなポイントとなりました。


― ありがとうございます!タイガーチームサービスによるWebアプリケーション診断とプラットフォーム診断を受けられましたが、いかがでしたか?


単体・統合テストなどのテストフェーズで開発したシステムに対して脆弱性診断を行ってもらいました。この時点でも脆弱性が見つかりました。リリース前ですから、細心の注意を払ってこの脆弱性を完全に潰しこめるまで潰しこんでいきました。

技術的アドバンテージや、詳細に行われる手動診断の魅力もさることながら、診断前の緻密な診断計画に加え、診断後、診断結果と問題点だけを提示して終わる報告会ではなく、問題に対する対応策を明確に提示した上で、優先度(緊急性)を踏まえた具体的なアドバイスをくれました。弊社に非常にフィットしていたと言えます。
その後、EC、FC、在庫などの主に個人情報を保有しているシステムを刷新し、2010年4月に新システムを稼働開始しました。

GSXを選択して良かったポイント

― GSXを選んで良かった点は何だと思いますか?


GSXの脆弱性診断サービスと情報セキュリティに関するコンサルティングは、弊社全体の情報セキュリティに対する危機意識を変えていきました。実際、システムが稼働する前は、情報資産の棚卸だけで四苦八苦。今まで私たちはこれらの情報資産にあまりにも無関心すぎました。良かった点ですね。もちろんあります。

POINT1

棚卸や脆弱性診断が進むにつれ、経営の観点からも情報保有によるリスクを可視化することができるようになり、全体を見渡せるようになったのは大きかった。
もし場当たり的にその場凌ぎの対応を続けていれば、コストは膨大になったでしょう。

POINT2

診断の優先順位を明確にし、診断範囲の選択をこちらへ委ねてくれた点も好感が持てた。
たとえば、情報資産の棚卸をしたうえで、事業リスク上最低限必要な診断をアドバイスしてくれます。私達の足元を見るような提案はありませんでしたね。

POINT3

報告会では、診断結果と問題点だけにスポットを当てるのではなく、その対策案や緊急度に応じた優先すべきポイントを明確にし、わかりやすく説明してくれた。

POINT4

システム稼働後もシステムが安定するまで、システム構築会社との定例ミーティングにも同席して、セキュリティ面の強化を補完するアドバイスをしてくれた。

POINT5

社員のセキュリティ教育では、根気よく個人情報の取扱の意味、資産とリスクの相関関係など詳細に説明をしてくれた。
セキュリティに対する社内のモチベーションも上がり、社員の意識が向上したことも大きかったですね。

などでしょうか。現在でも、セキュリティ強化の側面からもログ分析でアドバイスをいただくなどお世話になっています。今では、GSXに対して信頼を寄せていますよ。

そして、私たちのチャレンジでもありましたが2010年12月には、ISO27001(ISMS)を取得しました。社員の意識改革が全社に浸透してきた証拠でもあると言えます。
また、今回の事故で迷惑をかけてしまったアーティストやファンへの信頼回復、アミューズを支えてくれるステークホルダーに対して『企業として責任を果たす』ということを、明示することができたのではないかと思います。

株式会社 アミューズ 様
GSXへ期待すること

― 最後にGSXに今後期待することなどありましたらお聞かせください。


タイガーチームサービスの診断結果がシステム運用者の端末で把握できるようなツールがあればいいですね。例えば、タイガーチームサービスが実施する診断サービスやサーバセキュリティ情報診断、リアルタイム監視サービスなどの結果が表示され、状況をリアルタイムで把握できると面白い。また、他のシステムへのキックも合わせて一つの画面で行い、確認できるようなポータルが実現できれば最高ですね。


― アミューズが取り組む情報セキュリティの姿勢と目線は、着実に前進していると感じることができます。さすがアミューズですね。“ライブイズム”溢れるアイデア満載のご意見をいただき、襟を正さなくてはと思いました。今後もサービスの充実を図って参ります。お忙しいところありがとうございました。

キーポイント

「個人情報流出が発生した日から現在までに見えてきたことは、「世の中のASPサービスに完璧なものはない」ということでした。安易に社内システムをアウトソーシングしてきた私達も危機管理意識が足りませんでした。安全な環境を作り守っていくために『把握する』ことの大切さを学んだのです」
(株式会社アミューズ 大西氏)

導入会社プロフィール

会社名

株式会社アミューズ

株式会社 アミューズ 様

本社所在地

東京都渋谷区桜丘町20番1号

設立

1978年(昭和53年)10月16日

資本金

1,587,825,000円

従業員数

203人(アミューズグループ 247人) ※パートおよび嘱託職員は含んでいません

事業内容

アーティストマネージメント業、コンテンツ制作事業
イベント運営、版権事業、広告代理店業など

導入サービス概要

■ Webアプリケーション診断

Webアプリケーション診断では、現在稼働しているWebアプリケーションに対し攻撃者の視点から、Webアプリケーションを悪用して個人情報の取得やWebサイトの改ざんなどが発生しそうな脆弱なポイントを洗い出し、Webアプリケーションにおけるセキュリティ上の問題の有無を調査します。GSXでは、Webアプリケーションに負荷をかけず、手作業による正確で精密な診断を行います。

■ プラットフォーム診断

プラットフォーム診断では、情報システムに対して擬似攻撃を行い、情報システムに内在する脆弱性を洗い出します。特定のネットワーク機器への診断や、特別な侵入方法での診断も行います。これにより、検出された脆弱性に対策を実施することで、情報システムのセキュリティレベルを維持・向上をさせることが可能になります。

■ ISO27001(ISMS)認証取得支援

ISO27001(ISMS)認証取得支援では、既存の仕組みを活かしつつ、実態にあった仕組みづくりを支援し、最小限の作業でISO/IEC27001(JISQ27001)の認証取得ができるようお手伝いします。お客様の情報セキュリティ上のリスクを可視化(見える化)することにより、ISMS構築支援を行うので経営に役立ちます。

株式会社 アミューズ 様 導入事例紹介リーフレット (PDF 1.7MB)

本記事のシェアはこちらから

お問い合わせはこちら