株式会社アミューズ 様｜FortiWeb - Webアプリケーションファイアウォール（WAF）

大西氏

そんな状況の中、当社では過去に自社サイトが情報漏えい事件に遭い、お客様にご迷惑をお掛けしてしまいました。
ネットビジネスは企業として必要だとはいえ、セキュリティを疎かにすると、お客様にもアーティストにも迷惑を掛けてしまう。この事件を教訓にシステムセキュリティ体制を大きく見直し、Web公開されるシステムは全てセキュリティチェックを行うことをルールとして決めました。

大西氏

アジア進出に伴う拠点の新設に対応出来るよう、インターネットアクセスは必須になったと同時に最大限のセキュリティ施策が必要になりました。
そこで、当社では3つの施策を検討しました。
1つ目は、現地法人事務所にアクセス制御システムの導入(不正持込PCの制御)、2つ目は、システムの脆弱性診断の実施、そして3つ目がWAFの導入です。
脆弱性診断により抽出された脆弱性は、直ぐに改修をしました。主管部署との話し合いの中で「脆弱性を全部潰せばそれで解決じゃないの？」という声があったのも事実です。しかし、改修の漏れや今後の機能拡張などを考えると、脆弱性をずっとゼロにし続けることは、不可能なので慎重を期し、多層防御の観点からWAFの検討を進めました。

大西氏

まずは機能です。WAFの基本機能は大前提ですが、それだけだとメジャー製品の中では選別が困難でした。ですので、基本機能に加え、如何に付加価値を持っているかを加点ポイントにしました。
また、今回対象のシステムは某社のプライベートクラウドサービス上で動いているアプリケーションです。ですので、このサービス上で稼働できるWAFを選ぶ必要がありました。

大西氏

先ほどもお話したように、このロケーションで稼働する製品で、且つ基本機能以外の付加価値を持っているという点でした。環境面でいうと、FortiWebはアプライアンスだけでなく、VM環境版が用意されていることです。
また機能面でいうと、他のWAFには無い、Web改ざん検知機能と脆弱性スキャナー機能、それからアンチウイルス機能が決め手になりました。特にエンターテインメント業界がターゲットとされ、Web改ざんが頻繁に起きている今日において、改ざん検知機能は魅力的でした。
また、経営層に導入効果を見せる必要があり、分かり易いレポート出力というのも必須な要素でした。
さらに言えば、コストも重要な要素でした。というのも、もともと予算化しておらず、必要に迫られて臨時で検討したため、低コストで導入できるというのもFortiWebの選定ポイントでありました。

大西氏

導入後、毎日レポートをチェックしておりますが、厳しい状況がうかがえます。FortiWebがなかったら、すぐさま攻撃が成立するものではありませんが、少なくともアタックを防御しているという安堵感があります。
アジア進出などを進める一方、海外からの脅威が更に増えてゆく中で前述のような安堵感を得られることは、我々のステークホルダーへの責任を果たす意味合いでも非常に大切なポイントとなります。
常にセキュリティ意識を忘れず、マルウェア対策など今までのセキュリティ施策では通用しない部分をよく見極め、且つ過剰投資にならぬようITの運用を進めていきたいと思います。