株式会社東急モールズデベロップメント 様の導入事例
実際に人が不正アクセスする可能性(パターン)を、あらゆる角度から診断していただけるところが診断ポイントかと思います。
株式会社東急モールズデベロップメント 様
東急モールズデベロップメント(以下、TMD)は、東急グループのリテール関連事業の中核を担う商業施設運営業を営む二つの会社の統合により、2006年4月に発足しました。都心型のヤングファッションビルから東京郊外の洗練されたショッピングセンター、また地方中核都市ではファッションをリードするショッピングモールなど多様な形態の施設をきめ細かく運営しています。
SHIBUYA109は、ヤングファッショントレンドを発信する店舗として高い評価を受け、国内外から注目を浴びています。また「SHIBUYA109」と「109MEN‘S」をコンパクトにパッケージしたSC展開を図っており、全国主要都市の商業施設に出店しています。
またSHIBUYA109に関連したeコマースサイトの運営『SHIBUYA109 NET SHOP』『109MEN'S NET SHOP』『109NET plus』を行なっています。
目次
手動オペレーションでは、複数の脆弱性を組合わせた攻撃など、診断ツールと比較して、実際のハッカーの攻撃手法に近い視点による高度な診断を実施します。 実際のハッカーと同じ視点でブラックボックス方式のテストを実施し、充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、診断時の障害発生について最大限に配慮した診断を実施します。
専門コンサルタントによる手動オペレーション診断で高度な診断を実施します。 (プラットフォーム診断と比較すると、手動オペレーションと商用診断ツールの精度/網羅性に大きく乖離があることから、手動オペレーションを基本としています。)※ただしお客様のご希望や、内容・状況により、診断ツールを併用した診断についても対応可能です。発生について最大限に配慮した診断を実施します。
EPARK 事業部 システム開発部 部長
桝谷 泰司氏
定期的な脆弱性の洗い出しと改善対策をすることで、セキュリティが向上するのはもちろん、開発や運用を行う中で脆弱性を未然に防ぐ意識が高まっている。これは我々はもちろん開発ベンダーも同様で、新規開発などではほとんど脆弱性がなくなってきています。
■セキュリティ専門家による診断の必要性
GSX
まず、当社のタイガーチームサービスのご利用に当たっては、どのような背景があったのでしょうか?
松田氏
当社は東急電鉄のグループ会社であり、グループ内の紹介でGSXと出会いました。
以前までは開発ベンダーがツールで自己診断を実施していましたが、セキュリティ専門家のより深い診断が必要と判断し、親会社に紹介を依頼しました。当時東急グループのWEB脆弱性診断を実施していたGSXを紹介された、という経緯になります。
GSX
当社タイガーチームサービスのポイントはどのようなところですか?
松田氏
ツールではなく”人”による診断であることですね。
実際に人が不正アクセスする可能性(パターン)を、あらゆる角度から診断していただけるところかと思います。
また危険度が高い事項に関しては速報をいただける点は非常にありがたいですね。
アプリケーションだけでなくネットワークのセキュリティ診断もお願いできるところもタイガーチームサービスの特長ではないでしょうか。
■開発ベンダーも加えたセキュリティ強化体制とは
GSX
TMDではeコマースサイトを開発ベンダーへ制作委託しているようですが、開発ベンダーも含めた診断体制を構築する事にはどのようなメリットがありましたか?
松田氏
開発ベンダーの協力も含めた診断体制を構築できたことは、ウェブサイトの脆弱性の洗い出しやデイリーで発生するリリースタイミングに合わせた診断進行、またGSXは診断のプロのみならず、開発プログラムも理解できるので開発ベンダーとも各種連携が非常にスムーズに進められ、ひいてはセキュリティ意識の向上の部分まで創造できる点など、メリットも非常に多かったと思っています。
診断を重ねるごとに脆弱性の炙り出しを行い、健全なウェブサイト環境を運営でき、またそれをコンシューマーへ提供できているという自負に繋がります。
GSX
タイガーチームサービスによる診断の効果・効用をお教えください
松田氏
定期的な脆弱性の洗い出しと改善対策をすることで、セキュリティが向上するのはもちろん、開発や運用を行う中で脆弱性を未然に防ぐ意識が高まっています。これは我々はもちろん開発ベンダーも同様で、新規開発などではほとんど脆弱性がなくなってきていますので、ご利用頂く消費者様にとって健全なウェブサイトをご提供できていると感じています。
GSX
SHIBUYA109 NET SHOPをご利用されるコンシューマーの方々はPCでのお買い物のみならず、スマートフォン端末からご利用されるケースが非常に増えていると思われますが、その点に関するセキュリティ対策はどうされておりますか?
松田氏
特に我々のターゲットとなる若年層によるスマートフォン利用の拡大はひしひしと目の当たりにしていますので、スマートフォンサイトに対しても前述したセキュリティチェック並びにセキュリティ意識を高めていかなければなりません。
また仮に当社が独自アプリを開発した場合でもGSXさんの「スマホアプリセキュリティ診断」を利用できるといいですね。
機器自体が保持しているプライバシー情報やスマホアプリと連携するWebアプリケーションサーバには、決済情報をはじめとする重要情報を取り扱うケースが多いことから、今後益々セキュリティ対策を考慮すべき対象と考えています。
従いまして、コンシューマーの方々に安全なアプリ提供が可能になるので、今後は是非検討してみたいと思っています。
GSX
ところで松田様は、現職であるeコマースサイト運営などに関連して、もともとIT全般知識や情報セキュリティに対する知見が深かったのですか?
松田氏
特にIT全般知識があったわけではありません。振り返ると、開発ベンダーとGSXによるプロ同士の話し合いの積み重ねと、また知見の要る物事に対しても、咀嚼して懇切丁寧に説明してくれた要素があったからこそ、理解できることが非常に多かったと考えています。
会社名
株式会社東急モールズデベロップメント
本社所在地
東京都渋谷区道玄坂1丁目10番7号 五島育英会ビル4階
設立
1978年1月17日
資本金
1,550百万円(東京急行電鉄株式会社100%出資)
従業員数
184名
事業内容
・SC企画開発運営事業(サブリース・プロパティマネジメント事業)
・ネット通販事業
手動オペレーションでは、複数の脆弱性を組合わせた攻撃など、診断ツールと比較して、実際のハッカーの攻撃手法に近い視点による高度な診断を実施します。 実際のハッカーと同じ視点でブラックボックス方式のテストを実施し、充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、診断時の障害発生について最大限に配慮した診断を実施します。
専門コンサルタントによる手動オペレーション診断で高度な診断を実施します。 (プラットフォーム診断と比較すると、手動オペレーションと商用診断ツールの精度/網羅性に大きく乖離があることから、手動オペレーションを基本としています。)※ただしお客様のご希望や、内容・状況により、診断ツールを併用した診断についても対応可能です。発生について最大限に配慮した診断を実施します。
株式会社東急モールズデベロップメント様 導入事例紹介リーフレット
本記事のシェアはこちらから
