ゴルフ総合サイトを運営するゴルフダイジェスト・オンライン(GDO)は2008年9月、データベースサーバーをSQLインジェクションで不正アクセスされた。約10日間、ゴルフ用品のインターネット販売を停止する羽目になった。
ゴルフ用品のインターネット販売はGDOの主力事業。トラブルに見舞われたのが、ゴルフ用品の秋冬モデルの出荷時期と重なったこともあり、約4億円(本誌推定)という大きな損失を被った。
「当時は、セキュリティ対策への投資が十分とはいえなかった」。GDOの渡邉信之システム部長は打ち明ける。もちろん、IDS(侵入検知システム)やアンチウイルスソフトといった、多くの企業が導入している必要最低限のセキュリティ対策製品は導入していた。
ところが不正アクセスを受けた時期は、新規サービスの開発に注力していた。事業拡大を優先し、守りが手薄になっていた。
GDOは攻守のバランスを取ることが重要であると考え、「毎年システム運用・保守費の約10%をセキュリティ対策費用として確保する」ことを決めた。
セキュリティ対策費を確保するだけではない。不正アクセスや情報漏洩を防止するため2010年9月から、「あるITサービス会社に頼んで、当社の要求通りに特別なサービスを提供してもらっている」(渡邉部長)。オーダーメード型の監視サービスを利用しているわけだ。
Webサーバーに対するアクセス状況をITベンダーの技術者が24時間監視する。これと同時に、アクセスログの記録・解析も常時委託している。
| 過去に発生したトラブル 基幹系であるWebシステムが2008年9月30日、SQLインジェクション攻撃を受けた。このため、約10日間にわたり、ゴルフ用品販売サービスを停止した。 (ITpro2008年10月3日付ニュース) |
GDOのサーバーに不審と思われるアクセスがあった場合、ITベンダーの技術者は即座にアクセスできないよう遮断する。問題がないかどうかアクセスログを解析し、状況に応じた対策を立てる。GDOは従業員へのセキュリティ教育にも力を注ぐ。その一環として、トラブル発生時の行動ルールを明文化した。システムトラブルをリスクの度合いに応じて、4段階に分類し、それぞれの場合に取るべき行動を定めた(図4)。
