TOP > 株式会社アミューズ様の導入事例
導入事例のご紹介
情報漏えい事件の後、セキュリティ対策を軸に企業の責任をどのように果たしていったのか。
- 株式会社アミューズ 様 株式会社アミューズ(以下、アミューズ)は、「感動だけが人の心を撃ち抜ける」という企業理念を掲げ、“ライブイズム”を原点としながら、コンテンツホルダーとしてグローバルに歩み続ける総合エンターテインメント企業です。自社通販サイトを保有し所属アーティストのグッズ等の販売も行っています。
- プラットフォーム診断
- 手動オペレーションでは、複数の脆弱性を組合わせた攻撃など、診断ツールと比較して、実際のハッカーの攻撃手法に近い視点による高度な診断を実施します。
実際のハッカーと同じ視点でブラックボックス方式のテストを実施し、充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、診断時の障害発生について最大限に配慮した診断を実施します。
- Webアプリケーション診断
- 専門コンサルタントによる手動オペレーション診断で高度な診断を実施します。 (プラットフォーム診断と比較すると、手動オペレーションと商用診断ツールの精度/網羅性に大きく乖離があることから、手動オペレーションを基本としています。)※ただしお客様のご希望や、内容・状況により、診断ツールを併用した診断についても対応可能です。
-
株式会社アミューズ
IT企画部 次長 大西 善雄氏 -
グローバルセキュリティ
エキスパート株式会社
事業開発部 部長 青柳 史郎
個人情報流出が発生した日から現在までに見えてきたことは、「世の中のASPサービスに完璧なものはない」ということでした。安易に社内システムをアウトソーシングしてきた私達も危機管理意識が足りませんでした。安全な環境を作り守っていくために『把握する』ことの大切さを学んだのです。
■タイガーチームサービス導入経緯
アミューズでは以前、自社通販サイトがハッキングに遭う事件が発生。この事件をきっかけに、アミューズがGSXのサービスをどのように活用していったのかを、同社IT企画部次長の大西氏にお伺いしました。
- 青柳
- GSXのサービスを受けられたきっかけを教えてください。
- 大西氏
-
中国からのハッキングによる、個人情報流出事件が最初のきっかけになります。
当時アミューズが運用していたシステムは、部署毎に各々必要なシステムを利用し運用管理していくスタイルでした。ほぼ全てのシステムがアウトソーシングされ、社内システム全体を見渡せる人員もいませんでした。
情報漏えい後、まずは『把握する』ことに重点を置き、業務の内製化へとシステム改革を推し進めていったのです。時代の流れからは180度方向転換し、後退するように見えるかもしれません。ですが、同じ過ちを二度と起こさないためにも全てのシステムを統合し、なおかつ堅牢なセキュリティ対策を施し、再構築する必要性がありました。
- 青柳
- GSXの診断サービス『タイガーチームサービス』をそれまでご存知でしたか?
- 大西氏
-
ええ。よく耳にするサービス名でしたので実績も多いイメージがありますね。提案を依頼してみて正直びっくりしました。
検査だけにとどまらず、情報資産の棚卸→脆弱性診断→可視化→社員教育といったワンストップのコンサルティング提案を持って来てもらいました。
この提案で、当初個別に考えていた対応策から、時間・手間・コストを大幅に削減できることを確信できました。こういった、将来のあるべき姿を見据えた上で何をしていくべきかが明確な提案は、GSXを選定する上で大きなポイントとなりました。
■GSXを選定した理由
- 青柳
- ありがとうございます。タイガーチームサービスによるWebアプリケーション診断とプラットフォーム診断を受けられましたが、いかがでしたか?
- 大西氏
-
テストフェーズでしたので、開発したシステムに対して脆弱性診断を行ってもらいました。この時点でも脆弱性が見つかりました。リリース前ですから、細心の注意を払ってこれらの脆弱性を完全に潰しこめるまで潰しこんでいきました。
技術的アドバンテージや詳細に行われる手動検査の魅力もさることながら、検査前の緻密な検査計画に加え、検査後、検査結果と問題点だけを提示して終わる報告会ではなく、問題に対する対応策を明確に提示した上で、優先度(緊急性)を踏まえた具体的なアドバイスをくれました。弊社に非常にフィットしていたと言えます。
■GSXを選択して良かったポイント
- 青柳
- GSXを選んで良かった点は何だと思いますか?
- 大西氏
-
GSXの診断サービスと情報セキュリティコンサルティングは、弊社全体の情報セキュリティに対する危機意識を変えていきました。良かった点は・・・
棚卸や脆弱性診断が進むにつれ、経営の観点からも情報保有によるリスクを可視化することができるようになり、全体を見渡せるようになったのは大きかった。
もし場当たり的にその場凌ぎの対応を続けていれば、コストは膨大になったでしょう。
検査の優先順位を明確にし、検査範囲の選択をこちらへ委ねてくれた点も好感が持てた。
たとえば、情報資産の棚卸をしたうえで、事業リスク上、最低限必要な検査をアドバイスしてくれます。私達の足元を見るような提案はありませんでしたね。
報告会では、検査結果と問題点だけにスポットを当てるのではなく、その対策案や緊急度に応じた優先すべきポイントを明確にし、わかりやすく説明してくれた。
システム稼働後もシステムが安定するまで、システム構築会社との定例ミーティングにも同席して、セキュリティ面の強化を補完するアドバイスをしてくれた。
社員のセキュリティ教育では、根気よく個人情報の取扱の意味、資産とリスクの相関関係など詳細に説明をしてくれた。
セキュリティに対する社内のモチベーションも上がり、社員の意識が向上したことも大きかったですね。
などでしょうか。現在でも、セキュリティ強化の側面からもログ分析でアドバイスをいただくなどお世話になっています。
迷惑をかけてしまったアーティストやファンへの信頼回復、アミューズを支えてくれるステークホルダーに対して『企業として責任を果たす』ということを、明示することができたのではないかと思います。
- 青柳
- 最後にGSXに今後期待することなどありましたらお聞かせください。
- 大西氏
- タイガーチームサービスの検査結果がシステム運用者の端末で把握できるようなツールがあればいいですね。例えば、タイガーチームサービスが実施する診断サービスやサーバセキュリティ情報診断、リアルタイム監視サービスなどの結果が表示され、状況をリアルタイムで把握できると面白い。また、他のシステムへのキックも合わせて一つの画面で行い、確認できるようなポータルが実現できれば最高ですね。
- 青柳
- アミューズが取り組む情報セキュリティの姿勢と目線は、着実に前進していると感じることができます。“ライブイズム”溢れるアイデア満載のご意見をいただき、襟を正さなくてはと思いました。今後もサービスの充実を図って参ります。
- 企業名
- 株式会社 アミューズ
- 本社所在地
- 東京都渋谷区桜丘町20番1号
- 設立
- 1978年10月16日
- 資本金
- 1,587,825,000円
- 従業員数
- 200人 (アミューズグループ255人)
※契約社員、アルバイトは含んでいません
- 事業内容
- アーティストマネージメント業、コンテンツ制作事業、イベント運営、版権事業、広告代理店業など
