日本を代表する化学メーカーの花王は、グローバルに展開するWebサイトをAWS(Amazon Web Services)上で運用している。そのサイトのセキュリティ対策として活用しているのがトレンドマイクロの統合サーバセキュリティ製品「Trend Micro Deep Security」だ。同製品を使ったCTCのAWSに対するセキュリティサービスにより、月間2000万PV(ページビュー)ものアクセスがある花王グループのWebサイト群は、不正アクセスや脅威の侵入、ウイルス感染などのリスクからしっかりと守られている。
課題と効果
- 課題
-
- 大企業のWebサイトを狙った不正アクセスやサイト改竄の事件が頻発し、花王でも早急なる対応が必要となった
- セキュリティレベルがあまり高くないWebサーバが一部存在し、その防御を固める必要があった
- 本業に集中しながら、Webサイトのセキュリティを強化できるソリューションが必要だった
- 効果
-
- Webサイトに対する脅威侵入やウイルス感染リスクを大幅に低減
- 業務の現場に負荷のかからないセキュリティ運用を実現
- 500近いWebサイト群のセキュリティのガバナンスと均一化を実現
導入事例インタビューデータ
- 会社名
- 花王株式会社
- 設立
- 1940年
- 所在地
- 東京都中央区日本橋茅場町一丁目14番10号
- URL
- https://www.kao.com/jp/
-
花王株式会社
デジタルマーケティング部
コミュニケーション技術室
室長後藤 亮氏
-
花王株式会社
デジタルマーケティング部
コミュニケーション技術室
マネージャ田中 剛氏
500近くのWebサイト群をAWS上で運用
創業130余年の歴史を持つ大手化学メーカー、花王株式会社。に現社名の由来となる高級化粧石鹸「花王石鹸」を発売して以来、着実な成長と発展を遂げ、現在はビューティケアの「化粧品事業」と「スキンケア・ヘアケア事業」をはじめ、健康機能飲料・オーラルケア・サニタリーなどの「ヒューマンヘルスケア事業」、衣料用・食器用・住居用洗剤などの「ファブリック&ームケア事業」を世界100カ国以上の一般消費者に向けて展開しているほか、 国内外の幅広い産業に向けて、油脂関連製品や界面活性剤などを提供する「ケミカル事業」も手掛けています。これらの事業展開の中で、各種洗剤・トイレタリーなどの日用品や「ソフィーナ」「カネボウ」「キュレル」といった独自性の高いブランドを持つ化粧品については、国内トップクラスのシェアを誇ります。
このように様々に事業を展開する花王では、Webサイトを利用したマーケティング活動に早くから取り組み、今日では、国内外向け製品ブランドサイトなど、500近くのWebサイト群を運営しており、それらのページビュー(PV)は月間2,000万強に達しています。
従来、花王ではWebサイトを支えるサーバ(Webサーバ)群をオンプレミス環境で運用していましたが、には、Webサイトの基盤を全てクラウドプラットフォームに移行する決断を下し、その移行プロジェクトとのちのシステム運用を一手に担うパートナーとして、かねてから取引関係にあった伊藤忠テクノソリューションズ(CTC)を選びました。そのうえで、Webサイトの移行先としてAmazon Web Services(AWS)を選択し、同プラットフォームへのWebサイトの集中化を図ったのです。
花王グループでWebサイトを運用管理するデジタルマーケティング部 コミュニケーション技術室 室長、後藤 亮氏によれば、複数リージョンで開発・検証環境を含め300インスタンス以上をAWS上に構築し、Webサーバだけでなく業務システムの一部として利用しているといいます。
「当社の場合、Webサイトの運用管理については、かなり厳格なガバナンスを効かせています。には、ブランディングやコンテンツ管理の統一化・強化を目指して、花王ブランドのデジタルコンテンツを管理するDAM(デジタルアセット管理)とグローバルのWebサイトを管理するWCM(Webコンテンツ管理)を統合して利用可能な『Adobe Experience Manager(AEM)』(図1)を導入しています。」(後藤氏)。
相次ぐ有名企業のWebサイト改竄事件で、危機感が一挙に募る
AWSへのWebサイトの集中化を進めるなか、大きな課題として急浮上したのがセキュリティの強化です。その当時の状況を、花王グループのデジタルマーケティング部 コミュニケーション技術室 マネージャの田中 剛氏は次のように振り返ります。
「頃、大手企業のWebサイトに対する不正アクセスや改竄事件が頻発し、当社にとっても『対岸の火事』ではないと危機感を募らせました。そこで、改めて花王グループのWebサイトを眺めてみると、いつ改竄の被害を被ってもおかしくないWebサーバが一部存在していることに気づいたんです」
花王グループのWebサイトのうち、多くのブランドサイトでは、負荷分散と高速化を目的としてCDN(コンテンツデリバリーネットワーク)を導入し、Webサーバの上位に設置しています。そのため、サイト閲覧者がWebサーバにダイレクトにアクセスすることはできず、その意味で、一定のセキュリティは担保できていたと言えます。
「ところが、一部のブランドサイトのWebサーバはCDNを経由しておらず、セキュリティリスクが高い状態にありました。そこで、多くのブランドサイトと同様にCDN経由に変更することにしたのですが、一部のサイトでは動的コンテンツが多いため、CDNを効果的に導入することができません。また、そもそもCDNがあるからといって、Webサーバを無防備な状態にしておくのは、やはり危険です。結論としては、何らかのセキュリティツールを全てのWebサーバに導入しない限り、セキュリティリスクが下げられないと判断しました」(田中氏)。
そこで、田中氏・後藤氏らは、Webサイトのセキュリティ対策強化の必要性を経営層に訴え、投資への承認を取り付けました。
「当社には、慎重の上に慎重を重ねて物事に当たるという気風が伝統としてあります。ですから、Webサイトのセキュリティ強化に対する経営層の理解は早く、投資の意思決定はすみやかでした」(後藤氏)。
Trend Micro Deep Securityを活用したCTCのAWSセキュリティサービスを利用
こうしてWebサイトのセキュリティ強化に乗り出した花王では、CTCに全面的な協力を要請しました。CTCは、花王グループのWebサイトについて、AWSへの移行とのちの運用を一手に担ってきたほか、動的コンテンツの要望が多かったブランドサイト向けに構成・運用の統一化を図るためガイドラインの策定支援も手掛けています。そうしたことから、セキュリティ強化のツール提供についても、花王はCTCに一任したのです。
この要請を受けて、CTCが導入を勧めたのがトレンドマイクロの統合サーバセキュリティ製品「Trend Micro Deep Security」(以下、Deep Security)でした。
「当時、AWS上での稼働実績があり、さまざまな対策に一つで対応できるツールはDeep Security以外にはなく、私自身、CTCに勧められる以前から、Deep Securityの存在を知り、興味を抱いていました。しかも、CTCはトレンドマイクロ製品の取り扱い実績が豊富です。そのCTCからDeep Securityを勧められたので即座に導入を決めました」(田中氏)。
現在、AWS上にある花王グループのWebサーバには全て、CTCのAWSセキュリティサービスによりDeep Securityのエージェントが導入され、不正プログラム(ウイルス)対策や脅威の侵入検知/侵入防止(仮想パッチ)、Webアプリケーション保護などに役立てられています。
「セキュリティ対策は大切ですが、我々の本業ではありません。その意味で、優秀なツールとCTCのAWSサービス(CUVIC on AWS)によって、手間をかけずにWebサイトがしっかりと守られているというのはありがたいことです。これまでに重大なインシデントは一切発生していませんが、このように『何も起きないこと』『起きていないことを証明できること』は、Deep Securityのようなツールの最大の導入効果だと感じています」(田中氏)。
また、Webサイトのセキュリティレベルのガバナンスをとるために、花王ではWebサーバへのDeep Securityの適用をルール化しています。そうすることの意義も含めて、後藤氏は話の最後をこう締めくくります。
「Webサーバのどれかにセキュリティ対策上の漏れがあり、インシデントを発生させ、原因究明のために全Webサイトを止めなければならないような事態になれば、マーケティング施策に与える負の影響もきわめて大きいと言えます。そのリスクを低減させるには、セキュリティガバナンスの徹底が必要で、Deep Securityはそのためのツールとして有効だと確信しています」