PR

リコーは2000年7月,複写機などを販売するECサイト「NetRICOH」を立ち上げた。顧客のプライバシ情報を扱うため,セキュリティを強化したのが特徴である。Webサーバーとアプリケーション・サーバー,データベース・サーバーの3階層で構成し,それぞれにアクセス制御を施した。万が一,Webサーバーに侵入されても,顧客データを扱うデータベース・サーバーには簡単にはアクセスできない仕組みになっている。

(安東 一真=andoh@nikkeibp.co.jp)

写真1●リコーのWeb販売システム「NetRICOH」のデモ画面

 リコーは2000年7月,法人顧客向けに,複写機やそのトナーなどを販売するECサイト「NetRICOH」を立ち上げた。いゆわる「ワン・ツー・ワン」機能を提供していることで著名なサイトである(写真1)。顧客の購買履歴などを基に,お薦めの商品を紹介することができる。NetRICOHの登録ユーザーは,すでに10万人に近い。3月末には40万ユーザーに増える見込みである。

 NetRICOHのシステムは,ワン・ツー・ワン機能を提供したことのほかに,「それまで構築してきたWebサイトとは,大きく異なる点があった」(リコーIT/S本部IT/S企画室IT企画グループ係長技師の海野 好司氏)。強固なセキュリティ対策を施したことである。

 ECサイトで実際に受注し,商品を届けられるようにするには,顧客の個人名や連絡先といったプライバシ情報を扱う必要がある。どれも,外部にもれれば会社の信用を失いかねない情報だ。公開情報を配信する,これまでのWebサイトよりも大幅にセキュリティを強化する必要があった。

 セキュリティ強化の最大のポイントは,ECシステムを,Webサーバーとアプリケーション・サーバー,データベース・サーバーという3階層に分け,それぞれでアクセス制御を実施したこと。万が一Webサーバーに侵入されたとしても,顧客情報を管理するデータベースへは容易にはアクセスできないようにした。基本といえば基本のセキュリティ対策だが,これまでは意外に見過ごされてきたものである。

ファイアウォールのDMZでは不十分

図1●リコーのWeb販売システム「NetRICOH」の仕組み
インターネットとWebサーバーの間と,Webサーバーとアプリケーション・サーバーの間にファイアウォールを設置して,不正なアクセスを禁止した。万が一Webサーバーに侵入されても,顧客情報などを管理しているデータベースにアクセスされる危険性は低い。
[図をクリックすると拡大表示]

 ECシステムを守るためのセキュリティ対策の第一歩は,ファイアウォールのDMZ(非武装地帯)を使うことである。Webサーバーに対する不正アクセスの多くを,未然に防ぐことができる。

 DMZは,ファイアウォールに設けた3番目のLANセグメント。インターネット側と社内ネットワーク側のほかに,もう1つセグメントを設けたものである。このセグメントにWebサーバーなどを設置し,ファイアウォールでアクセス制御を実施する。

 インターネットからDMZに対しては,Webサーバー・マシンだけにアクセスを許可し,他にマシンへのアクセスは許さない。しかも許可するプロトコルは,Webアクセス用のHTTP(ハイパーテキスト転送プロトコル)だけに限定する。これで,顧客データを管理するデータベース・サーバーに対して,インターネットから直接にはアクセスされなくなる。

 しかし,これだけでは,顧客データが危険にさらされる可能性がある。Webサーバーを経由する形で,データベース・サーバーに不正アクセスされる危険性があるのだ。

 Webサーバーのセキュリティ・ホールには,HTTPプロトコルだけを利用するものがある。こうしたセキュリティ・ホールに対しては,ファイアウォールによるアクセス制御は無力になる。Webサーバーに対するHTTPアクセスは,すべて正当なものとして通過させてしまうからである。Webサーバーに侵入されてしまうと,データベース・サーバーはWebサーバーから直接攻撃を受けることになってしまう。

 もちろんWebサーバーにセキュリティ・ホールが見つかれば,すぐに修正ソフト(パッチ)を適用するのがセキュリティ対策の基本。しかし,こうした処置を,ほぼリアルタイムに実施するのは簡単なことではない。「Webサーバーは侵入される危険性があるという前提で,セキュリティ対策を施す必要がある」(リコーの海野氏)。その対策が,ECシステムの階層化とアクセス制御だった。

階層化で不正アクセスを遮断

 NetRICOHのECシステムは,Webサーバーとアプリケーション・サーバー,データベース・サーバーの3階層からなる。リコーは,ファイアウォールに2つのDMZセグメントを用意し,一方にWebサーバーを設置。もう一方にアプリケーション・サーバーとデータベース・サーバーを置いた。そしてファイアウォールのアクセス制御機能によって,Webサーバーからは,アプリケーション・サーバーの特定のソフトウエア・コンポーネントしか呼び出せないようにした。データベース・サーバーにアクセスできるのはアプリケーション・サーバーだけで,Webサーバーからはアクセスできない。たとえ第三者がWebサーバーに侵入したとしても,顧客データには自由にアクセスできないのである。

 もちろん,アプリケーション・サーバーとデータベース・サーバーに対して,インターネットから直接アクセスすることは禁じてある。これらのサーバーを置いたDMZに対しては,もう1つのDMZ上のWebサーバーからしかアクセスできないようにファイアウォールを設定した。

独自アプリで侵入を難しく

図2●セキュリティ確保の仕組み
Webサーバーは,アプリケーション・サーバーに対して,Webページの生成を指示するだけの機能を持つ。それ以外のアプリケーション・サーバーへのアクセスは,ファイアウォールですべて遮断する。Webサーバーからデータベース・サーバーへのアクセスも禁止してある。

 Webサーバーは仮に不正侵入されたとしても,盗まれて困るような情報はほとんどない。ヘルプ画面のような静的なものを除くと,すべてのWebページはアプリケーション・サーバーで生成される。アプリケーション・サーバーでは,前述のワン・ツー・ワン機能を提供するパーソナライズ・ツール「BroadVision」が動作している(図2[拡大表示])。Webサーバーは,このBroadVisionに,次のWebページの生成を依頼するだけである。

 NetRICOHは,社内の基幹システムとも連携して動作している。受発注データや商品カタログをバッチ処理で転送するためである。この基幹システムへの不正アクセスは,さらに難しくなっている。基幹システムに対してアクセスできるのは,DMZ上のデータベース・サーバーだけ。基幹システムには,Webサーバーとデータベース・サーバーの2台を経由しないとアクセスできない。しかも基幹システムへのアクセスは,受発注データなどをバッチ転送するプロトコルだけに限定してある。

ファイアウォールは再構成が必要に

 NetRICOHは,こうした設計に基づいてシステムを構築,サービスを開始した。ところが,しばらくするとトラブルに見舞われた。ECシステムの処理が遅すぎて,ほとんどアクセスできなくなったのである。

 原因を調べてみると,ファイアウォールがボトルネックになっていることが分かった。ファイアウォールはそれまで1台しか設置しておらず,インターネットとWebサーバー間や,Webサーバーとアプリケーション・サーバー間など,すべてのアクセス制御機能を実行させていた。しかも実際は,NetRICOH以外のほかのECシステムでも,このファイアウォールを利用していた。このため,「アクセス制御のルールが肥大化して,処理が追いつかなくなっていた」(リコーの海野氏)。

 結局ファイアウォールは,インターネットとWebサーバー間に1台,Webサーバーとアプリケーション・サーバー間に1台といったように,複数台を利用するように変更した。これで性能上の問題はなくなった。

 さらに,セキュリティが向上するという効果もあった。1つのファイアウォールが侵入された場合でも,被害の範囲を最小限に止められるようになったからである。

 「今後はECアプリケーションを増やすたびに,ファイアウォールも増やす方針」(リコーの海野氏)である。

シングル・サインオンを実現

 もう1つ,セキュリティの仕組みとして工夫したのが,いわゆる「シングル・サインオン」機能を実現したことである。1回ログイン操作をすれば,複数のWebサーバーにアクセスできるようにする機能だ。

 NetRICOHでは,複写機などを販売するほかに,Webベースのグループウエア機能を提供したり,特定の顧客をターゲットにした有料の情報提供サービスを用意したりしている(表1)。

 こうしたWebベースのサービスに対して,シングル・サインオン機能を提供する製品はいくつかある。しかしNetRICOHの場合,特殊な条件があった。提供するサービスには他社が提供するものがあり,Webサイトのドメイン名がNetRICOHとは異なることである。シングル・サインオン製品には,クッキーと呼ぶ仕組みを使うものがあるが,クッキーは通常,異なるドメイン名を持つWebサイトでは使えない。

 そこで導入したのがエントラストジャパンの「getAccess」である。採用を検討していた当時,getAccessは次期版で複数ドメインに対応することを予定していた。リコーは次期版の評価版を導入することで,複数ドメインでのシングル・サインオンを実現した。

名称 概要
eCalendar スケジュール管理,ToDoリスト,Webメールなどの個人情報管理機能を用意
おまかせOFFICE ワープロ書式や,統計資料などの表計算書式を5000点以上用意
デジタル法令文例 会社の設立・運営に必要な書式や文例を3000種類用意
PC教育 インターネットやパソコンのオンライン教育サービス
表1●NetRICOHで提供する付加サービス
複数のWebサイトで提供しているサービスを1回のログインで利用できる。

安心感で関連企業に運用を依頼

 NetRICOHの運用は他社にアウトソースしているが,アウトソース先の選定でも,安全性を重視した。

 ECシステムのアウトソース先は,リコーの関連企業のリコーテクノシステムズ。実は,マシン・ルームの施設面や料金面では,「他のデータセンター事業者よりも見劣りする部分がある」(リコーの海野氏)。しかしNetRICOHは,社内の基幹システムと直接つなぐシステム。こうしたシステムを,他社にまかせるのは不安なため関連企業を選択した。

 もっとも現在のアウトソース先にはほかに不安な点がある。アウトソース先の施設が,主要なIX(インターネット相互接続点)に直結していないことである。ネットワークの混雑状況によっては,特定のプロバイダにつながる顧客からはアクセスが遅くなる危険性がある。「特に最近はプロバイダのトラブルをよく聞く。需要の急速な伸びに対応できなくなっているのではないか」(リコーの海野氏)。

 そこでリコーは「コンテンツ・デリバリ・サービス」の利用を検討中。ネットワーク上の複数カ所に設置したサーバーにWebコンテンツを複製し,それぞれのユーザーが「最寄り」の複製サーバーに高速にアクセスできるようにするサービスである。ネットワークの途中が混雑していても,高い応答性を確保できる。

ワン・ツー・ワンを使いこなす

 ファイアウォールの再構築も終わり,NetRICOHは安定運用のフェーズに入りつつある。ただしECサイトである限り,機能拡張は今後も続く。2001年2月2日には,5回目の機能拡張を施したばかり。NetRICOHでの購入履歴を,リコーの営業担当者にフィードバックする仕組みなどを付加した。

 今後,特に使い込んでいきたいのがパーソナライズ・ツールの「BroadVision」である。国内での導入が増えてきたものの,使いこなしているユーザーはまだ少ないと言われるツールだ。

 BroadVisionのようなパーソナライズ・ツールを使いこなすために欠かせないことがある。特定の製品を推薦するマーケティング戦略を立てて実践したあと,それに対するユーザーのアクセス履歴を蓄積し,さらにそれを分析する。分析した結果から,マーケティング戦略を練り直す。これを繰り返し実施することだ。「それで初めて効果が出てくる」(リコー販売事業本部E事業部マーケティング部ポータル企画Gリーダーの花井 厚氏)。

 リコーは現在,この繰り返しを実際に何度か実行した段階。例えばトナーを購入するユーザーに対して,トナーを消す修正液(450円)を見せると,40%のユーザーが実際に購入した。「ついでに買えるのは,購入しようとした商品よりも安価なものといったパターンがつかめてきた」(花井氏)という。

 「パーソナライズ機能を使いこなせるかどうかは,マーケティング担当者のセンスと,実際のマーケティング戦略をどれだけ素早くツールに実装できるかにかかっている」(花井氏)。このためリコーでは,マーケティング担当部門と開発部門が協力して作業に当たる。どちらの部門も,BroadVisionの開発元の米国本社に出向いて講習を受けるなど,ノウハウを蓄積しつつある。ベンダーに頼らず,自力で使いこなしていきたい考えだ。