主力製品の一部機能をクラウドで展開

  • まず、WafCharm導入に至った背景をお聞かせください。

    業務がクラウドにシフトし始めてきたのが背景にあります。2014年に保守契約をWebで締結したいという社労士からの要望に応えたのが最初でした。その後、オンプレミスがメインだった当社のサービスのなかで、マイナンバーの取り扱い(人事労務統合管理システム台帳)や、給与明細のWeb配信(Cells給与)などの一部機能をクラウドで展開。クラウドとオンプレミスのハイブリッドで展開するようになりました。そこで、クラウドのセキュリティ対策を考慮するようになった次第です。

    株式会社セルズ 代表取締役 加藤 雅也氏

クラウド版リリース前にセキュリティ対策の知見を蓄積したい

  • WAF導入を検討するようになった理由を教えてください。

    社内外でクラウド活用が本格化するなかで、セキュリティ対策の一環であるWAFの存在を知りました。ただ、ソフトウェア開発やアップデートでリソースが一杯の状況だったため、しばらくはWAFの導入を考える余裕がありませんでした。

    その後、WAFの導入を検討するようになった理由は2つあります。ひとつはユーザーである社労士からの声でした。とくに大手企業の顧問をしている社労士からは「顧問先の情報システム部門から、利用サービスに対するセキュリティ対策の問い合わせが増えている」という声があがり始めていました。

    もちろん、当社もISO27001(情報セキュリティマネジメントシステム:ISMS)や、ISMSのオプション認証ISO27017(クラウドセキュリティ認証)、プライバシーマーク(Pマーク)を取得し、会社として情報セキュリティ対策に取り組んできました。しかし、大手企業から見れば、情報セキュリティ対策におけるマネジメントシステムの認証取得は当たり前。もっと具体的な対策であるWAFの導入を求められていました。

    もうひとつは、クラウドへのシフトが加速しているビジネスの時流を鑑みて、給与計算サービスと人事労務管理サービスを合体した新しい社労士のための新プロダクトをクラウドで提供するプロジェクトがスタートしたためです。フルクラウドとなると、当然WAFが必須になります。ただ、リリース前後に慌ててWAFを導入した場合、「何らかのトラブルがあったときに素早く対処できないのでは?」と考えました。そこで、すでにクラウドで提供している一部機能にWAFを導入し、知見を蓄積しておいた方が得策と思い、WAFの導入を検討することにしました。

  • Azureを利用している理由をお聞かせください。

    当社のアプリケーション開発はマイクロソフト製品をベースに行ってきました。そのため、重視したのはマイクロソフト製品との親和性。それがAzureを選んだ理由です。

サイバーセキュリティクラウドの実績を評価

  • WafCharm以外に比較・検討したWAFの製品はありますか。

    Azureでサービスを展開している以上、WAFも親和性が高いAzure WAFを使いたいと考えました。しかし、当社にはWAFの運用経験がありません。前述の通り、リソースも一杯でしたから、WAFのPoC(Proof of Concept:概念実証)にかける時間も労力もありませんでした。何か良い手立てはないか探していたところ、以前一緒に仕事をさせていただいたことがあるサイバーセキュリティクラウドから、Azure版のWafCharmがリリースされたという話を伺いました。AWS WAFの自動運用で実績があるWafCharmのAzure版ですから、当社としても大いに興味を持ちました。

    最終的にはAzure WAFとの親和性、サイバーセキュリティクラウドが展開するセキュリティ対策ツールの実績、最小限のリソースでクラウドのセキュリティを強化できる点がポイントとなり、WafCharmの導入を決定しました。

  • WafCharm導入の進捗状況をお聞かせください。

    当社が導入を検討したのが2021年1月でした。構築は4月からで、6月からは検知モードでの仮運用をスタートさせました。本稼働は、その3カ月後の9月から始めました。

  • 検知モードに3カ月かけた理由をお聞かせください。

    当社のリソース不足で誤検知の確認に時間がかかったことと、誤検知の解決に多少手間取ったためです。誤検知はWafCharmを入れている7つのサービスのなかで利用頻度が高い「事業者マイページ」という機能のところで発生していました。

Azureの仕様が誤検知を誘発

  • 誤検知は解決したのでしょうか。

    サイバーセキュリティクラウドと一緒に取り組んで、無事解決することができました。根本的な原因はAzureの仕様です。あるサイズを超えるとすべて検知するという仕様であることが分かりました。

サイバーセキュリティクラウドの提案で誤検知を解決

  • 誤検知の解決方法を教えてください。

    Azureの仕様では解決が難しいと思い、「事業者マイページ」のところだけWafCharmを外すことも考えました。しかし、サイバーセキュリティクラウドのエンジニアは解決策を探り続け、最良の提案をしていただきました。それは7つのサービス全体をひとつのユニットで監視するのではなく、「事業者マイページ」のところだけ別ユニットにしてルールを分けるという方法です。

本稼働後は快適に動作し、不正アクセスも可視化

  • 本稼働後、WafCharmの評価をお願いします。

    本稼働前にもう一度ルールの見直しなどを行った効果もあって、本稼働後はほとんど誤検知がなく快適に動作しています。ユーザーからのクレームもありません。このほか、WafCharmについて当社が評価しているのは以下の点です。

    <不正アクセスを可視化できる>
    やはり不正アクセスを可視化できているのは素晴らしいと思います。1日あたり多いときには50~60ぐらい、月では500ぐらいが不正アクセスとしてブロックされています。ほとんどが海外からやってくるbotのアクセスですが、確実にブロックされていることが分かるのは本当に安心できます。

    <親身になってくれるサポート>
    誤検知の解決時もそうでしたが、サイバーセキュリティクラウドのサポートはいつも親身に対応してくれます。レスポンスが早く、解決のための提案があるので、本当に助かっています。可視化に関しても、Azureの機能を使って見やすくする方法まで指南していただきました。

  • 今後のクラウド展開をお聞かせください。

    このままWafCharmを運用していけば、フルクラウド版の人事労務統合管理システム「FORROU」のリリース前までには知見を蓄積できそうです。セキュリティ対策を担保できれば、あとは製品開発に全力を注ぐのみです。これからが佳境ですが、全力で開発にまい進していきます。

Azure WAFとWafCharmのセットがおすすめ

  • WafCharm導入の先行ユーザーとして、Azure WAFの運用に苦労されている企業に向けたアドバイスがあればお願いします。

    多くのリソースを割く必要なくセキュリティを強化できる点は本当に有り難いと思っています。開発に集中するためにも、Azureでサービスを展開している企業であれば、Azure WAFとWafCharmをセットにしてセキュリティを担保することをおすすめします。

  • ありがとうございました。