グローバルに展開する大規模サイトのAWS移行で、サイバー攻撃に強いシステムを実現!

株式会社ローソン

cloudpack

株式会社ローソン

急増するサイバー攻撃に強いシステムの構築が急務

大手コンビニストアチェーンの株式会社ローソン様(以下、ローソン様)は、国内約15,000店のコンビニエンスストアを展開されており、ローソンのほかローソンストア100、ナチュラルローソンといった様々な店舗形態、ローソン銀行やローソンエンタテインメントなど様々な事業を手掛けられています。

同社は各事業の公式ウェブサイトを運営していますが、近年急増するサイバー攻撃への対応が喫緊の課題となっており、特にグローバル規模に事業を展開する同社は最新のサイバー攻撃を防ぐ堅牢なセキュリティ環境の構築を必要としていました。

また、コンテンツの入稿者が様々な拠点からセキュアにシステムにアクセスできるようにし、かつ運用負荷のかかるシステム運用を外部パートナーに代行してもらうことで業務効率化を図り、より良いコンテンツづくりに注力できる環境を求めていました。

対象となるのはローソン公式ウェブサイトのほか、英語版やナチュラルローソン、ローソンストア100、ローソンデジタルイノベーションなどの各種公式ウェブサイト。膨大なウェブサイトでいかにサイバー攻撃に強いシステムを構築し、システム運用の効率化も実現できるかが今回のプロジェクトの大きなポイントでした。

静的と動的の切り分けで、サイバー攻撃のリスクを回避

ローソン様の課題に対し、アイレットは大きく分けて2つの提案を行いました。

まず、今回のプロジェクトの最優先事項はセキュリティ対策です。サイバー攻撃のリスクをできる限り回避するために、静的コンテンツと動的コンテンツの棲み分けを行い、サイバー攻撃の前面にくるフロント部分をサーバから AWS のマネージドサービスに移行することで、サーバの脆弱性対策からの解放や運用負荷軽減を目指しました。このアプローチに加え、AWS 環境内では AWS WAF や AWS CloudTrail、AWS Config、Amazon GuardDuty といった各種サービスを活用することでセキュリティ強化を狙いました。

また、システム監視・保守・運用からCMS管理までをアイレットが実施することで、ローソン様がコンテンツ更新業務に集中できる環境をご提供しています。

状況に合わせて、セキュリティのベストプラクティスを導き出す

当初、AWS に移行する静的コンテンツについては、CloudFront+S3オリジンによるサーバレス構成を採用することで、セキュリティ対策をCloudFrontに任せられるようになり、他のサービスやソフトウェアを使う必要がなくなるため、セキュアな環境と効率的な運用を実現できると想定していました。

しかし、プロジェクト進行中に細部を調べてみると、実は静的コンテンツであるとお聞きしていた部分において、サーバサイドで動作するSSIが利用されていることが判明しました。

そこで、システム構成を変更し、CMSからS3にコンテンツを格納するまでの間に配信サーバを設置。CMSで配信されたデータを配信サーバが検知し、配信サーバからS3へデータを格納する仕組みを構築することで、当初想定していたセキュリティのベストプラクティスを実現することができました。

セキュリティに関しては、AWS 環境内は AWS CloudTrail、AWS Config、Amazon GuardDuty を使用することで変更監視と脅威検出を行い、CMSのサーバではIPアドレスでアクセス元を制御し、かつIPアドレスが固定ではない拠点からのアクセスは、VPN接続をクライアント証明書の発行で認証することでアクセスを制御。不正なアクセスをシャットアウトできるようにしました。さらにシステム内部の全てのサーバにC1WS(Trend Micro Cloud One Workload Security)を導入することで、コンテンツ入稿や別のシステムからファイル連携する際にウイルスが混入しないようにしました。

このように、サービスの最適な組み合わせにより、あらゆる脅威を想定した強固なセキュリティ環境を構築することができました。

強固なセキュリティ環境が完成。コンテンツ更新業務にリソースを集中できるようになる

今回の大規模なシステム移行により、ローソン様各種公式ウェブサイトにて、グローバルに求められる品質のサイバー攻撃対策と、最新のセキュリティが完備されました。なお今回構築したシステムは、システム構成上のセキュリティに関するコンサルティングにおいて「問題ない」という太鼓判を頂いております。

さらに、システム運用をアイレットで代行させていただいたことで、ローソン様社内の運用負荷が低減。顧客体験の向上につながるコンテンツ更新業務にリソースを集中できるようになったというお声・お言葉を頂いております。

サイバー攻撃は日々進化しているため、セキュリティシステムも一度構築したら終わりではなく、常に監視・保守を行いながら堅牢なシステムを維持・改善し続ける必要があります。今後も私たちはクライアント様のご要望や状況に合わせて柔軟に対応し、セキュリティ対策のベストプラクティスをご提案し続けます。

Credit

クライアント株式会社ローソン