AWSと相性が良くインテグレートできるAWS WAFを導入

  • 御社のサービスはクラウドで提供されていると伺っていますが、WAFも導入されていたのでしょうか?

    Classi株式会社 サイバーセキュリティ推進部 梅田 昌太氏

    2014年から提供を開始した当社のサービスのインフラ環境は、当初からオンプレミスではなくパブリッククラウドを積極的に活用してきました。それにより、当社のサービスを導入くださるお客様の多くから強固なセキュリティ対策を求められていました。つまり、サービスを提供するうえでWAFの導入は必須の要件だったんです。

  • サービス提供開始のときからWAFを導入されていたのですか?

    当初はCDN型のWAFを導入していました。現在はWafCharmがメインですが、一部CDN型も利用しています。

  • WafCharm導入の経緯についてお聞かせいただけますでしょうか?

    当初は、パブリッククラウドとCDN型のWAFを利用していました。2016年2月のAWS切り替え後もCDN型のWAFを使い続けていましたが、コストや機能的な課題を解決するべく、新たなWAFの導入を検討し始めました。その理由は以下の通りです。

    <AWSと相性の良いWAF>
    AWSとインテグレートできるWAFを求めました。例えば、ブロック件数を把握したいとき、APIなどを通じてAWSと連携できるWAFです。簡単に言うとAWSと相性の良いWAFということです。

    <ログを収集・分析したい>
    私の所属しているサイバーセキュリティ推進部は、サイトの信頼性を守るSRE(Site Reliability Engineering)業務の一環としてセキュリティを管轄している部門で、SIEM(Security Information and Event Management)でログを集めて分析するファンクションも有しています。しかし、既存のWAFはマネージドセキュリティーサービスで運用はベンダー任せだったため、ログの収集や分析はできない状況でした。当社に負担が少ないのは良いのですが、やはり我々としてはログを収集・分析できる自由度を求めました。

  • 新たなWAF導入にあたって、検討された製品について教えてください。

    AWSと相性の良いWAFといえばAWS WAFに行き着きます。実際、2019月12月からAWS WAFのPoC(Proof of Concept)を開始したのですが、やはり相性が良いと感じました。例えば、AWS WAFのログはS3のバケットに出力できるため、あとから自分たちで検索や閲覧方法を構築できます。さらに、AWSのメトリクスは当社で利用しているクラウド運用監視ツールで参照することもできます。こういったところで、AWS WAFに切り替えることを決断しました。

AWS WAFを利用するならWafCharmもセットで運用したい

  • WafCharmはいつ導入されたのでしょうか?

    AWS WAFのPoC開始とほぼ同じタイミングでWafCharmのPoCも行っていました。正直なところ、AWS WAFを利用するならWafCharmもセットにして運用することを念頭に置いていました。

  • AWS WAFとWafCharmをセットで運用する理由をお聞かせください。

    AWS WAFのルールづくりは難しいにつきます。ルールづくりを行うには、我々の部門が行っているSREやSIEMとは別の専門的な知識が必要になるため、ここに労力を使うのは避けたいと考えました。実際、シグネチャを書くこともしていません。当初からAWS WAFを利用する場合は、WafCharmもしくはマネージドルールを利用するのが前提でした。

  • マネージドルールではなく、WafCharmを選定した理由をお聞かせください。

    サポートがあることが最大の理由です。マネージドルールにはサポートがなく、すべて自分たちで運用しなければなりません。その点、WafCharmは何かあったとき、24時間365日のサポートが受けられるので安心です。

    PoCの際、トライアルから始められたのも良かったポイントです。検証環境からそのまま本番に移行することができました。さらに、明確な料金体系もポイントでした。

無料でスタートできるWafCharmは試してみる価値アリ

  • WafCharm導入後の効果についてお聞かせください。

    WafCharmにはとても満足しており、導入して良かったと感じています。具体的には以下の点を挙げさせていただきます。

    <自由にカスタマイズできる>
    自分たちが使いやすいようカスタマイズできるところが秀逸です。ログはAWS WAFからそのまま出力できますから、ブロック数や許可されたリクエスト数、アクセスのカントリー、ユーザーエージェントなど、自分たちが見たいデータを収集して分析することが可能。AWS WAFを使用しているので、AWSネイティブでkinesisにインテグレートできます。その先はs3にそのまま出力してもいいですし、lambdaなどで柔軟にカスタマイズ可能です。

    <検知が圧倒的に速い>
    以前は画面でモニタリングしなければ検知が分かりませんでしたが、現在はコミュニケーションツールにアラートがリアルタイムに通知されるため、検知が確実に速くなりました。DevSecOpsの観点からも重要な機能が実装されたと思っています。

    <運用コストを削減>
    初期コストがなくサブスクリプションの料金形態により、とても安価に利用させていただいています。

  • AWS WAFを利用されている企業に向けたアドバイスがあればお願いします。

    WAF運用経験のない方がAWS WAFを使いこなすは容易なことではありません。そんなときは、トライアルはもちろん、無料から始めることができるWafCharmをおすすめします。ローコストですから試してみる価値はあると思います。

  • 最後に今後のセキュリティ対策についてお聞かせください。

    コロナ禍という状況のなか、学校が休校になった4月には通常のユーザー数で3倍、リクエスト数で7倍と想定を上回るアクセスがありました。そうした状況でも、我々サイバーセキュリティ推進部が担うのはお客様の情報を守るということ。AWSのマネージドサービスを活用しながら、より強固なセキュリティ対策を推進していきたいと考えています。

    加えて、今後もWafCharmは当社のセキュリティ対策の重要な位置付けであることは変わりません。引き続き、よろしくお願いします。

  • ありがとうございました。