ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. コラム・レポート
  3. 事例にみる、大規模Webリニューアルとセキュリティ セミナーレポート
ここから本文です。

事例にみる、大規模Webリニューアルとセキュリティ セミナーレポート

大規模な企業Webサイトについて実際のプロジェクト事例から、成功のカギとなるお作法と、最近気になるセキュリティ事情から原因・対策のコツを、NEC SI・サービス技術本部 セキュリティ技術センターとNECマネジメントパートナーが解説しました。2015年10月30日開催セミナーのレポートです。

第1部 3つの成功事例にみる、サイトリニューアルで失敗しない5つのお作法

講師:山方 理佳子

講師プロフィール
山方 理佳子
NECマネジメントパートナー株式会社
マーケットコミュニケーション事業部 シニアプロデューサー

第1部は、7月・9月に実施したセミナーの再演です。
大規模サイトリニューアルプロジェクトでは前半プロセスにあたる、現状把握、課題整理、コンセプト策定、要件定義が重要であるというお話をさせていただきました。Webサイトリニューアルだけでなく、プロジェクトが大規模になると、特に要件定義等の前半プロセスが大切で、プロジェクト関係者の同意形成や目的設定、範囲設定が不十分だと、その後の制作・開発プロセスに入ったときに、いわゆる炎上するプロジェクトになってしまうリスクが高まります。

講演では、NECマネジメントパートナーの実績から3つのケーススタディをご紹介しました。

ケーススタディ1:ワークショップを活用した課題整理(インフラ会社様)

Webマスター様がWebリニューアルのご経験がなく、進め方に不安をお持ちでした。当社が持つプロジェクト進行のノウハウをご提供し、Webマスター様と共にプロジェクトの進め方を決めていきました。企業規模が大きく複数事業部でWebサイトを運用するケースになります。それぞれの事業部での運用上の課題を抽出・整理し、Webサイトリニューアルの方向性を共有するためにワークショップという手法を選択しました。ワークショップを実施した結果、各事業部を横断した一体感・責任感が生まれ、その後のプロジェクト進行が非常にスムーズになりました。ワークショップを使った課題整理・コンセプト策定プロセスで、当社は進行役であるファシリテーターを担当させていただきました。

ケーススタディ2:社長を説得してリード獲得型Webサイトへリニューアル(部品メーカー様)

社長の一声でプロジェクトがスタートしましたが、社長からの要望はトップページのデザイン変更でした。Webマスター様は情報発信型サイトからリード獲得型サイトに目的をステップアップしたいという構想をお持ちでした。Webマスター様の構想を実現すべく、営業部門と課題を共有し、その課題をWebサイトが解決するという説得力のあるプラン作成をご支援しました。Webマスター様は本プランを持って社長を説得し、プロジェクトの承認と予算獲得に成功しました。

ケーススタディ3:ブランドコミュニケーションの運用体制構築(化学メーカー様)

各事業部が独自にWebサイトを運用しており、デザインが事業部ごとにバラバラでした。Webマスターが更新状況を把握できていないのも大きな課題でした。本プロジェクトでは、Webサイトのブランドコミュニケーションの円滑化・運用効率化をプロジェクトゴールに設定して、Webガバナンスの概念を導入しました。Webガバナンスの重要性を各事業部と共有し、納得していただくプロセスを踏みました。また、各事業部が持つ課題を共有し、その課題を解決するための手段として、制作ガイドラインを導入、運用ツールとしてCMS(Content Management System)を導入しました。

最後に、各ケーススタディから「学ぶべき5つのお作法」として、プロジェクト前半プロセスの進め方のポイントをまとめました。5つのお作法は、チームビルディング、ビジョン共有、コンセプト策定、ゴール設定、ガバナンスとPDCA(リニューアル後の運用効率化と計画)とお伝えしました。

第2部 Webサイトのセキュリティ対策、これだけは!

講師:冨士 浩一

講師プロフィール
冨士 浩一
NEC
SI・サービス技術本部 セキュリティ技術センター

第2部では、セキュリティ事故事例の原因を踏まえ、Webサイト運用でのセキュリティ対策についてご紹介しました。

官民問わず第3者からの攻撃によるセキュリティ事故が多発

Webサイトの企画・開発に当たっては、事故に直面する可能性があることを意識しておく必要があります。2015年度上半期もWebサイト情報流出事故が数多く発生しています。クレジットカード情報流出やWeb会員情報流出事故のうち流出件数(流出の疑いを含む)が特に多かった事例を5件ご紹介しました。加えて、追加1件の事例については、クレジットカード流出後の専門機関による実態調査を経て公表までに要した期間や費用などを詳しく解説しました。

Webサイトでセキュリティ問題が発生する原因

IPA(情報処理推進機構、経済産業省所管の独立行政法人)が発表した「2014年の不正アクセス被害原因」では(*1)、1位が「ID・パスワード管理の不備」で17%、2位が「古いバージョン、パッチ未導入など」の11%でした。

「ID・パスワード管理の不備」の具体例を示します。ID・パスワードを付箋に書き、PCのディスプレイに貼り付けている。同じID・パスワードを複数人で共通に利用している。「password」・「123456」のような推測可能な文字列をパスワードに使っている。などの行為が以外と多く行われています。

「古いバージョン、パッチ未導入」とは、セキュリティホール(脆弱性)を放置することにより攻撃を受けるケースです。Shellshock(GNU bashの脆弱性)の例では、セキュリティホール公開後の2週目には1日あたり5,000件もの攻撃が検知されています。(*2)

他に代表的な原因として、ウィルス感染、セキュリティを考慮していない開発(クロスサイト・スクリプティング、SQLインジェクション等の対策不備)をご紹介しました。

セキュリティ問題への対策

残念ながら、これをすれば100%安心ということはありません。ただしできることはあります。サーバの対策では、セキュリティパッチを適用する。パスワード管理を徹底する。セキュリティを考慮した開発を行う。コンテンツアップロードにFTP以外のプロトコルを採用する。コンテンツアップロードするPCを限定するなどがあげられます。Webサイト管理者の場合は、CMS(Content Management System)を利用してコンテンツアップロードしているケースが多いと思います。CMSにもセキュリティホール(脆弱性)がある可能性があります。ご注意ください。

セキュリティ対策は地道な活動の積重ねです。まずはできるところから1つずつ行い、定期的に見直していく事が大事です。

*1 IPA コンピュータウイルス・不正アクセスの届出状況および相談状況 [2014年年間]
*2 JSOC INSIGHT vol.6「Shellshock(GNU bashの脆弱性)の検知件数および重要インシデントの件数推移」

おすすめ資料ダウンロード

ページの先頭へ戻る