モバイル通信サービスを主要事業とするエクスコムグローバル様は、海外用モバイルデータ通信サービスで国内トップのシェアを誇ります。スマートフォンの普及などによる市場の拡大に伴い、順調に事業を伸ばしてきましたが、2013年に発生した不正アクセスによる顧客情報の漏えい事件は同社の事業に大きな打撃を与えました。「信頼し続けてくれたお客様に報いたい」という思いから、事件後にセキュリティソリューションを刷新、現在ではWebアプリケーションファイアウォール(WAF)を含むブロードバンドセキュリティの各種サービスをお使いいただいています。
【お話をお伺いした方】
・マーケティング部 部長 藤森俊吾 氏
・マーケティング部 マーケティンググループ エンジニア 合谷拓樹 氏
・システム部 システムグループ グループリーダー 東山恵一 様 氏
エクスコムグローバル様は1995年、海外渡航時の携帯電話レンタルサービスを提供する「インターコミュニケーションズ」として創業しました。市場のニーズが「携帯電話を海外でも使いたい」から、「ふだん使っているデバイスで、世界のどこからでもインターネットに接続したい」へとシフトしていく流れを的確に掴み、2010年には海外用データ通信レンタルサービス「MiFiレンタル」を開始、事業規模を飛躍的に拡大していきます。この前後に、スマートフォンが爆発的に普及し始めたことも同社のビジネスにとって追い風となりました。
2012年7月、ビジネス拡大を狙ったテレビCMが市場に強烈なインパクトを与え、知名度が一気に拡大、利用者数も大幅に増加します。同年9月には「エクスコムグローバル」に社名を変更し、順調な成長を続けていた同社に、経営を根底から揺るがすような大きな事件が起こったのは2013年4月でした。
エクスコムグローバル様のお客様は個人ユーザーが全体の約6割を占めます。ほとんどのお客様はWebサイトを通じてサービスを申し込み、クレジットカードで決済を行いますが、そこで入力された個人情報は、同社のデータベースサーバに保存されていました。
ある日、クレジットカード会社から「個人情報の流出と不正利用の可能性がある」と連絡を受けた同社は、ただちに調査を開始するとともにWebサイト上でのクレジットカード利用による申し込みを停止、サーバ内に保管されていたクレジットカード情報を全削除し、クレジットカードの決済もすべて中止しました。調査の結果判明した事実はエクスコムグローバル様にとって非常に重いものでした。お客様のクレジットカード情報を保存していたサーバに対して大掛かりなSQLインジェクション攻撃が行われ、10万件を超える個人情報が不正に流出していた証跡がみつかったのです。
お客様の信頼を情報漏えいというかたちで裏切ってしまった事実は、全従業員に重くのしかかります。世間からの批判も強まる中、同社を支えたのは「やっぱりエクスコムグローバルのサービスを使い続けたい」というお客様の存在でした。「あれほどの事件にもかかわらず、変わらずに支えてくれるお客様のために、決済もインフラもアプリケーションもすべて作り変えなければ、と強く心に決めました」と藤森様は当時を振り返ります。そしてそのシステム刷新においては当然ながら、セキュリティの強化が最も重要なポイントでした。
大切なお客様の情報を二度と漏えいしないために、エクスコムグローバル様が取り組んだセキュリティ強化対策は大きく2つありました。
ひとつはオンライン決済によるクレジットカード情報の非保持です。エクスコムグローバル様は事件前まではPCI-DSS準拠を目指していましたがこれを中断し、クレジットカード情報を自社ではもたず、決済代行会社によるリンクタイプ決済にシステムを切り替えました。あえて個人情報をもたないことでセキュリティの担保を図ったのです。
もうひとつはインフラとアプリケーション開発のセキュリティ強化を図るため、信頼できるセキュリティパートナー企業を選ぶことでした。事件後から複数の企業に問い合わせを行い、検討を重ねた結果、2013年7月にはBBSecの各種サービスの導入を決定、新システムが稼働した11月からご利用を開始されています。「現在はWebアプリケーションファイアウォール(WAF)や外部からの侵入防止システム(IPS)、デイリーベースの脆弱性診断などを利用しています。事件後、インフラをオンプレミスからクラウドに移行し、IPSやWAFもクラウド上で構築しています」とインフラ部門を統括する東山様は説明します。
BBSecをお選びいただいた理由として、東山様は「必要とするレベルのサービスがすべて用意されており、24時間365日サービスを止めたくないという我々の要望に応えてくれた唯一のベンダ」であったことを挙げています。「多くのお客様が利用している時間帯にサービスを停止する事態は可能な限り避けたい」という点、そして全てのカード(PAN)情報の非保持確認を実施、脆弱性診断からクラウド環境まで一元で提供できる点も高くご評価いただきました。
「情報漏えいの過去は決して償いきれるものではありません。だから以前の信頼を取り戻すよりも、以前とは違う、新しくて安全なエクスコムグローバルに変わったことを実績で証明していくしかないと思っています」と語るのは、フロントエンドのWebサービス開発を担当する合谷様。お客様にサービスを提供するWebサイトは攻撃者から最も狙われやすい部分でもあります。「BBSecから毎月提出されるセキュリティレポートには、攻撃の件数や手法が詳細に記載されていますが、正直、こんなにも多種多様な手口で襲われているのかと心底驚かされます。脅威が可視化されたことで、はじめて襲われている実感を持ちました」(合谷様)
インフラを毎日チェックしている東山様は「多いときでは3分で1万件以上のDDoS攻撃にさらされます。それらの攻撃をWAFやIPSでしっかりとブロックしている感覚は以前よりずっと強いですね」と、セキュリティに対する意識の変化を語っています。「BBSecのサービスはあくまでツールです。どんなに良いツールであっても使う側の意識がいい加減なら、必ずそこを突かれる。セキュリティは当事者の問題であり、いつも自分が狙われている事実を忘れずに運用していく必要があります」と東山様。大きな代償を払った経験から出る言葉には重みがあります。
BBSecのセキュリティソリューションを利用されてから約1年が経過しますが、今後はもっとシステムとの親和性を高めていきたいとのこと。「システム全体を刷新した時期と重なるため、かなり馴染んできた感覚はありますが、もっと自信をもってセキュリティがシステムに最適化されているといえるレベルまで到達したいですね」(東山様、合谷様)
「エクスコムグローバルの役割は、世界のどこからでも手軽で安全につながるインターネット環境を提供することです。お客様に安全な接続環境を届けるためには、我々自身のインフラとサービス/アプリケーションが安全でなくてはならない。BBSecのセキュリティソリューションはその目的を実現するための重要なカウンターパートです」と藤森様。大きな事件を乗り越えて、新たな進化と成長を目指すエクスコムグローバル様のビジネスを、BBSecはセキュリティという側面から今後も支援していきます。
<会社情報>
| 会社名: | エクスコムグローバル株式会社 海外用モバイルデータ通信サービス/携帯電話短期レンタルを提供するモバイル通信サービス事業を展開 |
| 本社所在地: | 〒150-0011 東京都渋谷区東1丁目26番20号 東京建物東渋谷ビル8階 |
| 設立年月日: | 1995年11月17日 |
| 資本金: | 9,300万円(2014年12月現在) |
| 事業拠点 | 東京本社、大阪支社、台湾支社ならびに国内国際空港内に4店舗を展開 グループ会社:XCom Global, Inc.(米国) |
| 従業員数: | 約280名(アルバイトを含む、2014年12月現在) |
| 事業内容: | ・海外用モバイルデータ通信サービス「GLOBAL DATA」 ・海外用携帯電話短期レンタル「Global Cellular」 ・法人向けソリューション |
| URL: | http://www.xcomglobal.co.jp/ |
※ 記載の情報は2015年1月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。