株式会社ゴルフダイジェスト・オンライン様 「Tripwire Enterprise」で、顧客向けシステムの変更を管理、内部統制用証跡管理と改ざん検知体制を整備 Tripwire Enterprise(改ざん検知・侵入検知)PCI DSS準拠支援ソリューション

(右)株式会社ゴルフダイジェスト・オンライン システム部 ネットワークソリューションチーム 田中 秀和氏 (中)株式会社ゴルフダイジェスト・オンライン システム部 部長 渡辺 信之氏 (左)京セラコミュニケーションシステム株式会社 セキュリティ事業部 セキュリティシステム課 山本 綾子

株式会社ゴルフダイジェスト・オンライン別ウィンドウで開きます

  • 創業:2000年5月
  • 住所:東京都品川区東五反田2-10-2
  • 事業概要:ゴルフメディア、ゴルフ用品販売、ゴルフレッスン、ゴルフ場予約

プレイスタイルの多様化や予約が取りやすくなったことから、幅広い世代に人気を呼んでいるゴルフ。この10年余り、大きく変わった日本のゴルフ産業を牽引してきたのがゴルフダイジェスト・オンラインだ。同社はBtoC、BtoB両方に提供する顧客向けシステムに加えられる変更を検知・管理するために、KCCSのインテグレーションサービスを受け、変更管理・改ざん検知「Tripwire Enterprise」を導入。内部統制で求められる証跡管理と改ざん検知の態勢を整備した。

1. 日本のゴルフ産業変革の立役者として、サービスを提供

株式会社
ゴルフダイジェスト・オンライン
システム部 部長 渡辺 信之氏

2000年代に入って、日本のゴルフは大きく変わってきている。ゴルフ用品やゴルフウェアは種類が豊富になり、買いやすくなった。ゴルフのプレイスタイルは多様化し、料金体系も柔軟になり、予約も取りやすくなった。そして、新しい時代を牽引する若手プロが男女ともに現れて、メディアでも多くの注目を浴び、ゴルフファンは確実に増えている。こうした変化の大きな推進力となっているのがゴルフダイジェスト・オンライン(以下、GDO)である。

2000年に設立されたGDOは「ゴルフの変革」をミッションに、「ゴルファーにとって、どんなサービスや情報があったら、便利か」という1点にフォーカスして、ビジネスを展開してきた。そして、それは (1)ゴルフ用品のインターネット販売を軸としたリテールビジネス (2)インターネット・電話・モバイルによるゴルフ場の予約とゴルフ場の営業をサポートするゴルフ場ビジネス (3)オンラインメディアの運営、インターネットを中心とした広告、モバイルサービスの提供・運営を行うメディアビジネス、の3つから構成されている。

「私たちGDOではこの3つのビジネスをトライシクル(三輪車)モデルと呼んで、うまく相関関係を築きながら、ゴルフに関わるすべてのサービスを提供できるようにしています。今年創業10周年を迎えますが、今年からアジア圏を手始めに海外への展開を開始し、最終的にはゴルフの本場であるアメリカへの進出を目指しています」と語るのはゴルフダイジェスト・オンライン システム部 部長 渡辺 信之氏だ。

2. 証跡管理と改ざん検知のため、変更管理をシステム化

GDOは東証マザーズに上場しているため、金融商品取引法(日本版SOX)による財務報告に係る内部統制報告書の提出と監査法人による監査が義務づけられている。そこでは、プログラムを改修した際のファイルの変更履歴を監査証跡として残す必要がある。ところが、GDOでは今まで、変更履歴をエクセルで台帳管理していたため、正しいかどうかを証明できず、監査法人からも問題を指摘されていた。また、GDOでは会社法で定められた内部統制の構築も目指しており、変更履歴の証跡管理の対象範囲は、財務報告にはインパクトを与えない、ニュース配信などのコンテンツ変更にまで広がっていく。そこまでの広い範囲にわたる変更管理は人手では不可能だ。
加えて、Webサイトに対する不正アクセスや外部からの攻撃による改ざんが急増している中、自分たちの意図しないシステム変更を検知することも大きな課題だった。
「人間の目で、Webサイトをチェックするのは不可能です。ですから、経営に対して自社のWebサイトは改ざんされておらず、大丈夫だという報告を確証をもって上げるためには、システムで変更管理を行う以外にありません。そのために、計画して実施した変更とそうでない変更の差分を取ることで、改ざんされた場合にはそれが直ちに分かる仕組みを作ることにしたのです」(渡辺氏)。
こうしたことから、GDOでは「Tripwire Enterprise」を導入して、システムに加えられたあらゆる変更を管理していくことにした。

3. レポート機能に優れ、サーバへの負荷が低いTripwire Enterpriseを選択

株式会社
ゴルフダイジェスト・オンライン
システム部
ネットワークソリューションチーム
田中 秀和氏

GDOが変更管理ソリューションの選定にあたって定めた要件は、 (1)差分を取るタイミングを1日に1回、1時間に1回など調整できること (2)日次、週次でレポートが可能で、何かあった場合には直ちにアラートが上がること (3)サービスに影響を与えないように、サーバの負荷を最低限に抑えること、の3つだった。

「2009年11月、KCCSからもらったパンフレットに、変更管理・改ざん検知として「Tripwire Enterprise」が紹介されていました。それを見て、サービス側のシステムで使えるかもしれないと思い、部長に報告しました」と振り返るのはゴルフダイジェスト・オンライン システム部 ネットワークソリューションチーム 田中 秀和氏だ。

当時はちょうど日本版SOX監査の時期で、変更履歴の証跡管理が大きなテーマになっていたこともあり、GDOでは、すぐにKCCSをシステムインテグレータとして変更管理・改ざん検知「Tripwire Enterprise」の導入を決めた。

「以前、別の変更管理製品を検討したことがあったのですが、レポート機能が弱く、差分を取るのにサーバが高負荷となる製品でした。それに比べ、Tripwire Enterpriseはレポート機能が優れており、サーバに負荷をかけず、私たちの要望をすべて満たしていたので、直ちに導入しようということになりました」(渡辺氏)

4. 日本で唯一Tripwire社認定資格を持つKCCSがチューニング

京セラコミュニケーション
システム株式会社 セキュリティ事業部
セキュリティシステム課 山本 綾子

こうして、2009年12月から、Tripwire Enterpriseの導入作業が始まり、約1ヶ月で作業は完了、2010年2月初めには、Tripwire Enterpriseの運用がスタートした。導入作業の中で、KCCSによって実施されたのが「インストールサービス」と「アラートチューニングサービス」である。

インストールサービスは事前ヒアリングやソフトウェアの導入、監視設定などを行うものだ。一方、アラートチューニングサービスは変更したファイルに対して、すべて同じ重要度でアラートを出すのではなく、日々の運用の中で発生する変更は履歴だけに残し、アラートを出さないように設定するもので、運用を行う上では欠かせないサービスだ。

「今まで、アラートチューニングは米国Tripwire社の教育を受けたエンジニアしか提供できませんでしたが、今回KCCSのエンジニアが日本で初めてTripwire社の「Tripwire Enterprise製品導入認定コンサルタント」の資格を取得し、国内でもアラートチューニングを行えるようになりました。一般的には、どのような変更をアラートとして上げるか、導入してすぐに決めるのは難しいのですが、資格を取得することで監視対象機器の指定されたファイルのみを監視するルールを設定できるようになり、KCCSのノウハウもあり、今回の導入では短期間で対応することができました」と説明するのは京セラコミュニケーションシステム セキュリティ事業部 セキュリティシステム課 山本 綾子だ。

5. 社内業務システムや利用中の外部サービスも変更管理の対象に

現在、Tripwire Enterpriseの監視対象は、BtoB、BtoCで顧客にサービスを提供するシステムである。ニュースの更新も含むと、1台のサーバで、1週間で数万のファイル変更があり、それらの差分が1日1回チェックされ、週1回、レポートが運用担当者に送られる。
そして、万一異常があった場合には、検知段階で、直ちにアラートが送られる。
「階層ごとに、ファイルの変更日時や変更回数を記録していますが、レポートは自動集計されて送られてきます。運用担当としては、集計作業に手間がかかりませんし、レポートもビジュアルで大変見やすく、一目で状況が分かるので、とても助かっています」(田中氏)。
GDOでは今後の運用の中で、内部統制用の証跡管理、改ざん検知のためのノウハウをさらに蓄積し、運用精度を高めるとともに、Tripwire Enterpriseの適用範囲を会計や人事など社内管理業務システムにも広げていく考えだ。そして、最終的には、自社システムだけでなく、ITサービス会社から提供を受け、利用しているASPサービスまで、Tripwire Enterpriseで変更管理を行っていく計画である。

取材時期:2010年2月
掲載日:2010年3月30日

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ