クレジット業界大手のジェーシービー(JCB)はこのほど,Webサイトに関するフィッシング対策製品を稼働させた。導入の背景やシステム構築でこだわったポイントを,担当者であるシステム部顧客チャネルシステムグループ担当の原田明比古部長代理に語ってもらった。
−−フィッシング対策製品を導入した背景はどのようなものか。
Webアクセスの人口が右肩上がりの中でフィッシングという悪意のある行為がネットで増えている。お客様にカードを安心して使っていただくために不可欠と思って取り組んだ。幸いなことに弊社では被害は発生していないが,他社における被害が明らかになるにつれて,なるべく速やかに対策すべしという認識が社内にあった。
−−フィッシング対策を始める前に,Webサイトでウイルス・チェックができるようにもしているが。
1999年から2000年にかけてWebサイトで「MyJCB」というお客様向けのサービスを開始したが,当時から各種の問い合わせをお客様からいただいていた。例えば,迷惑メールでは,あて先がランダムに生成されるようになっている。そうしたメールを受け取ったお客様から,私どものサイトに登録したメール・アドレスが漏れたのかというお問い合わせをいただいたことがあった。そこで,少しでもお客様のお役に立てればということで,対策ツールを選定・導入してきた経緯がある。サイトでのウイルス・チェックは2005年1月に始めた。フィッシング対策製品は,2005年の6~7月ごろから検討を開始して,導入することを報道機関に向けて同年11月に発表した。そして2006年1月31日にシステムを稼働させた。
−−どのような製品が候補になったのか?
今回採用したセキュアブレインの製品「PhishWall」を含めて三つを検討した。一つは,クライアント側でプログラムを起動してサイトにアクセスするタイプで,使い勝手の面でお客様に不便だと感じた。ブラウザにプラグインで組み込める製品が,ベストなツールではないかという結論になり,さらに技術力などを含めて評価して決めている。
−−実際の構築に当たって注意した点は?
ハードウエアの機器選定に私なりのこだわりがあり,無停止サーバーを採用した。PhishWallはアプリケーション・サーバーとデータベース(DB)・サーバーで構成されるが,このうちDBサーバーに日本ストラタステクノロジーのftServer 4300を利用している。
セキュアブレインの提携先でシステム構築を担当したCSKシステムズの当初の提案は,アプリケーション・サーバー側を冗長化するとともに,DBサーバー側をクラスタリング構成にするものだった。クラスタリングではダウンした場合,どうしても切り替えの時間が数分間発生する。お客様に対して信頼感を醸成するためのツールが,システム障害で一瞬でも機能しなくなる時間が出るのは避けたかった。そこで,無停止サーバーを利用する方向に修正した。クラスタのサーバーよりコストは底上げされたが,それに見合うだけの効果はあると思っている。
−−運用までで苦労したところは?
構築そのものはスムーズに行った。強いて挙げると,サイトのページ数が2000と多いので,動作検証に苦労したところだろう。すべてのページにおいてPhishWallの機能が働くことを弊社自ら確認している。チェック作業には,コンテンツを統括する担当グループの10人が総出で2週間かかった。コンテンツをすべて表示させるためには,住所を入力するなど,サービスを一通り使っていく必要がある。ページの構成を把握しているコンテンツ管理部署でないとできないので,社内調整した上で協力してもらった。
