多くのドメインを所有する場合のセキュリティ統制：ECサイト「フェリシモ」の脆弱性診断ツール活用

導入企業紹介

株式会社フェリシモは、1965年に創業した兵庫県神戸市中央区に本社を持つ大手通信販売会社です。幅広い年代をターゲットとした、ファッション、生活雑貨などを自社開発し、提供しています。

「ともにしあわせになるしあわせ」をコアバリューに、永続的なしあわせ社会を創造することを目指しています。

数々のWebサイトを展開している中で、脆弱性診断ツール「Securify（セキュリファイ）」を導入いただいた背景をIT推進部、インフラ基盤グループの竹内 章人（たけうち あきと）さん、楯 研人（たて けんと）さんに伺いました。

課題と効果

課　題

• ECサイトと同水準のセキュリティ対策コストの確保
  • ドメインが多く、優先度の低いところまでECサイトと同水準のセキュリティ対応をすると、コストがボトルネックとなるため対応が後手になっていた。
• WordPressセキュリティの統制難
  • 運用者が多く統制が難しくなり、ルールが徹底しきれていない部分があった。

効　果

• セキュリティ対策の最適化
  • ツール診断と手動診断によるハイブリッドなセキュリティ診断体制の実現。
• 多様なサイトにおける統制の強化
  • 多くのサイトに対し統一した基準でのセキュリティ診断が可能となった。

――はじめに、御社の事業内容を教えてください。

株式会社フェリシモは、自社で企画したファッションアイテムや生活雑貨をはじめ、国内外から独自の視点でセレクトした商品やサービスなどを、カタログやECサイトを通じて全国のお客様に販売する「ダイレクトマーケティング事業」を行っています。

その中でも、毎月1回定期的に商品をお届けする「定期便事業」が主要なサービスになります。

お申し込みいただいた商品とともに、来月以降のしあわせな日々を生み出す、新たな商品やサービスのご案内を箱に詰めてお届けしています。1回利用のお客様だけではなく、長くお付き合いいただいているお客様もとても多いことが特徴です。

また、最近では定期便以外の新規事業にも注力しておりまして、本社にはチョコレートミュージアムや、ワイン醸造所「f winery」、劇場型レストラン「Sincro」を展開しております。

更に、これまでの取り組みが評価され、リニューアル開業を2024年4月26日に控えた神戸ポートタワーの運営事業者に選定されました。

――竹内さんと楯さんはどのような業務を担当していますか？

2人とも、IT推進部のインフラ基盤グループに所属しており、サーバー、クライアント、ネットワークの運用・管理を主に行っています。

その中でも、竹内は、AWSのインフラ周りや、WordPressの管理をメインで担当しており、楯は、セキュリティ関連の業務をメインで担当しています。

――セキュリティ対策について、御社ではどのように取り組んでいますか？

多くのアイテムを購入することができるECサイトについては、お客様との主要な接点となりますので、セキュリティ対策の重要性と優先度は高く認識し実施しています。

従来より、脆弱性診断はセキュリティコンサルタントへ依頼して、大規模なシステムリリースのタイミングや、年間計画の中で定期的に手動診断を実施しておりました。

しかし、細かな改修のタイミングでの診断や、優先度が低くなってしまうブログなどの静的サイトのセキュリティ対策を、ECサイトと同水準まで引き上げるとコストが高くなるという課題がありました。

弊社は、オンラインショッピングが楽しめる「フェリシモ」だけでなく、「部活」と呼ばれる同じキモチをもつ仲間と共にかなえたい夢や新しいチャレンジを楽しむために誕生した活動毎のサイト、各ブランド毎の特色を出したサイトなど数多くのドメインを保有しています。更に、それぞれのブランドでブログを持っているので、他の企業様と比べても、数はかなり多いと思います。

――今回、Securifyで診断したWebアプリケーションの概要を教えてください。

弊社内に複数あるECサイトと、WordPressで構築されたWebサイトを診断対象とし、24ドメインを契約させていただきました。

WordPressの管理をしていても、複数の部署が使用しているものなので、ルールが徹底しきれていなかったり統制がとりにくかったりという問題がありました。

Securifyにおいて、脆弱性診断だけでなくWordPressの設定を評価できる「WordPress診断」機能が追加されたことは、包括的なセキュリティ対策につながると思い、メリットに感じました。

――ツール導入を検討し始めたきっかけはあったのでしょうか。

先ほど述べた課題を踏まえて、自社で定期的な診断を行えて、かつコストも抑えられる診断ツールの導入検討を進めました。

――確かに、近年不正アクセスの認知件数も増えています。そんな中、数ある脆弱性診断ツールの中からSecurifyを導入いただいた経緯を教えてください。

すべてのサイトを手動診断で依頼する場合は莫大なコストがかかるため、現実的な対策ではないなと思っていました。

• 社内で診断をコントロールし運用可能
• 定期的な診断が可能
• コストが抑えられる

上記が叶うのはツールだと思い、以前から良いサービスがないか探していました。

Securifyと出会ったのは、とあるセミナーへ情報収集のため参加したことが始まりでした。セミナーに参加した上司からツールを案内してもらい、お話を伺うことにしました。

――その中で、導入を決断いただいた理由は何ですか？

大きな理由は管理画面で診断までの設定が簡単なところです。ズバリ、使いやすかったですね。

更に、ドメイン数が多い中でコスト面でも考慮いただけたのが決め手になります。

ご提案後、すぐに準備していただいてトライアルを実施できました。実施にあたってはオンラインミーティングを行い、実際の画面を投影しながらサポートしていただけました。

診断対象の認証設定だけ少し手間がかかってしまったのですが、定期的にオンラインでサポートいただき、設定を完了させることができました。

――実際に導入してみて、Securifyの使い勝手はいかがですか？感想を教えてください。

製品選定からPoCに関わったインフラ基盤グループのメンバーを中心に診断を回しています。

他社様の導入事例を読んでみると、非エンジニアの方が運用している企業様も多いなと気づきました。弊社でも、開発メンバー全員が使えるようになり、受入テスト時に都度チェックするようにしたいと思っています。

診断結果は分かりやすかったのですが、社内で対応を迷っていたところ、カスタマーサポートの方からこういう観点でみてくださいという解説をいただいたので改修判断に役立てることができました。

いくつかのサイトに対しWordPress診断も行いました。検知された設定不備はすぐに直すことができたので、修正後、再度診断を行い改善されたことを確認できました。

――Securifyの導入により、どのような効果を得られましたか？

都度診断が可能で、迅速に指摘をいただき、すぐに対応を行えるため、非常に効率的だと実感しています。

指摘事項に対する修正後に、再度スキャンを実施することで、修正の状況も迅速に把握できる点がありがたいです。

UIの設定や結果の確認もシンプルでわかりやすいため、現在はECサイトの診断結果を確認し、必要に応じて対応するといったプロセスをスムーズに進められています。

――セキュリティ面を含む、今後の取り組みや展望を教えてください。

Securifyでツールによる脆弱性診断は行えますが、従来通り手動診断も併用して実施していく方針です。

手動診断はセキュリティ専門家による客観的な判断が行われます。また、ツール診断で広範囲のスキャンや定期的な監査に役立つ診断が加わることで、より強固なセキュリティ対策が実現しました。

組織、人、システムは、働き方や事業展開によって変化していきます。

一過性のものではなく、定常的に内部と外部両面からセキュリティインシデントが発生しないよう対策を行ってまいります。特に弊社はチャレンジする社風がありますので、

既存のルールに捉われず、その時代その環境に適したセキュリティの改善に取り組んでいきたいと考えています。

――最後に、スリーシェイクやSecurifyに今後期待することがあればお聞かせください。

まだリリースからそれほど経っていないと思うのですが、WordPress診断やSaaS診断など、機能追加のアップデートやUIの改善など、高い頻度でリリースが行われていることが素晴らしいと思います。今後も更なる進化を期待したいです。

――ありがとうございます。引き続きサービス向上に励んでまいります。竹内さん、楯さん、本日はありがとうございました！