株式会社 集英社

AWS上に女性向けポータルサイトを移行
会員情報の確実な保護に貢献しコンテンツ事業の成長を支える

概要

お客さまの課題

巧妙化、多様化する攻撃から会員情報を保護しなければならないが、従来の対策だけでは不十分。さらなる強化が求められていた。

解決策と効果

ホスト型で複数のセキュリティ機能を導入し、多層的な防御を実現。安全性を強化した上、ワンストップソリューションで運用負荷も軽減できた。

"Deep Securityは、我々が必要と考えたセキュリティ機能をすべて統合していました。安全性はもちろん、個別のソリューションを導入するより効率的に運用できる点も魅力です"

株式会社 集英社
ブランド事業部 メディア事業室 主任
横田 孝俊 氏

導入の背景・課題

「週刊少年ジャンプ」「non-no」「すばる」といった雑誌をはじめ、文芸書や文庫本など、多彩な出版事業を展開する集英社。近年は、保有する豊富なコンテンツを活かし、Webサイトを活用した情報発信にも積極的に取り組んでいる。

女性向けポータルサイト「HAPPY PLUS」もその1つである。10代の女性をターゲットにした『Seventeen』から50歳前後の女性に向けた『eclat(エクラ)』まで、同社は様々な女性誌を出版している。「HAPPY PLUSは、それら女性誌のコンテンツを活かし、幅広い層の女性に向けて、ファッション、美容、グルメ、旅行、ウェディングなどに関する情報を発信しています」と同社の横田 孝俊氏は説明する。

従来、HAPPY PLUSは、同社が保有する共有サーバ上でコーポレートサイトなどと共に運用されていた。しかし、近年、会員数やページビューが増加した結果、注目記事などがアップされると突発的にアクセスが急増。レスポンス遅延が発生することもあり、サービスレベルに懸念が生じていた。そこで、同社は、トラフィック増加にフレキシブルに対応するため、HAPPY PLUSの提供基盤をクラウドに移行することを決定。実績やコスト、運用管理性などを総合的に評価し、アマゾン ウェブ サービス(以下、AWS)を採用した。

クラウドへの移行と同時に同社が取り組んだのが、さらなるセキュリティ強化である。「会員制サイトであるHAPPY PLUSは、会員さまの氏名や住所、年齢、メールアドレスなどの情報をお預かりしており、それらを確実に保護しなければなりません。他社のWebサービスから流出したユーザIDやパスワードを使い、別のWebサービスに対して不正ログインを試みる『アカウントリスト型攻撃』など、新たな脅威による被害が急増していることもあり、従来のウイルス対策に加え、さらなる対策強化の必要性を感じていました」と横田氏は言う。仮に日本を代表する出版社である同社がセキュリティ事故を引き起こしたとなれば、レピュテーションリスクも大きい。そのことも取り組みを加速させる要因となった。

選定理由・ソリューション

AWS上に移行したHAPPY PLUSを保護するために、どのようなソリューションを採用するか──。新HAPPY PLUSの構築を担ったインテグレータのクラスメソッドと協議を重ね、同社が採用したのがトレンドマイクロの「Trend Micro Deep Security(以下、Deep Security)」である。

特に評価したのが、AWS上のシステム保護におけるDeep Securityの実績。そして、Webシステムを狙った攻撃の検知、排除をより確実に行うために不可欠と考えた機能をDeep Securityがすべて統合していることだ。

「HAPPY PLUSは限られた人員で運営しており、できるだけ運用負荷を軽減する必要があります。Deep Securityは、IDS/IPS、WAF(Web Application Firewall)、アンチウイルスといった機能をすべて実装しており、各ソリューションを個別に導入するよりも効率的に運用できる上、サポートも一本化できます」と横田氏は言う。

また、前述のアカウントリスト型攻撃についてもDeep Securityのログを監視することで検知可能。さらに、Deep SecurityのWAFはホスト型で利用でき、ゲートウェイ型のWAFで問題になりやすいネットワークの制限を考慮せずに済むことも評価した。

導入前には負荷テストによる綿密な検証を実施。高負荷時にもDeep Securityがサイトの稼働に影響を与えないことを事前に確認し、導入を決めた。

導入効果

AWS上のHAPPY PLUSは、Webサーバ、アプリケーションサーバ、データベースなどのサーバから構成されている(図)。Deep Securityは、外部からの攻撃を最も受けやすい6台のWebサーバに配置している。特にIDS/IPSについては、安全性をなにより重視して「ブロックモード」で動作させている。

Deep SecurityのIDS/IPSには、2つのモードがある。不正な振る舞いを検知した際、まず管理者に報告し、判断を促すのが「検知モード」。一方、同社が設定しているブロックモードは、不正な振る舞いを検知すると、即座に不審な通信をブロックする。「サービスの停止リスク回避を優先するなら、検知モードが適しています。しかし、HAPPY PLUSには、決済処理といった、絶対に停止が許されないサービス、遮断が許されない通信はありません。そこで安全性を最優先して、ブロックモードによる運用としています」と横田氏は説明する。

トレンドマイクロは、HAPPY PLUS の特性を踏まえて、こうしたDeep Securityの最適な設定を支援した。「インテグレータとは頻繁に顔を合わせますが、我々にとってソフトウェアベンダーは、ともすれば遠い存在になりがちです。それに対し、トレンドマイクロは頻繁に足を運んでくれ、細かな相談にも柔軟に対応してくれた。そうした対応も安心感につながりました」(横田氏)。

Deep Securityによって、安全・安心なAWSの運用環境を実現した同社は、コストや運用負荷の軽減、「オートスケール」によるピーク時の自動対応など、様々なクラウドのメリットを享受している。今後は、HAPPY PLUSの会員の増加に応じて、順次、サービス基盤を拡張していく予定だ。

「これから集英社のビジネスにとってWebとクラウドの活用は重要なカギとなります。お客さまにサービスを安心してご利用いただくためには、セキュリティ対策は不可欠。トレンドマイクロには、最適な提案とソリューションの提供を期待しています」と横田氏は最後に語った。

AWSを活用したHAPPY PLUSのシステム構成

※ 記載内容は2014年6月現在のものです。内容は予告なく変更される場合があります。