AWS WAFを自社内で運用するにはハードルが高い

  • WafCharm導入の経緯についてお聞かせいただけますでしょうか?

    松浦:「hachidori」も「CAST」もAWSで提供するサービスです。どちらも住所や電話番号といった個人情報を扱うシーンがあるため、かなりセンシティブな運用が求められます。サービスを提供する当社としては、強固なセキュリティ対策を行ってお客様の情報を守っていかなければなりません。

    また、お客様からセキュリティ対策について質問があった際、自信を持って答えられる必要があると思っています。もし、「大丈夫です」と言えないようであれば、お客様に不安を抱かせることになります。そこでまずは、WAFの導入を検討することにしました。

  • WAF導入にあたって、検討された製品について教えてください。

    当社のサービスに合いそうなクラウド型WAFを中心に4製品ほどピックアップしました。そのなかで検討しましたが、CNAME型のWAFはApexドメインの問題で導入できない、導入の手間やシステム切り替えの手間が煩わしい、継続して利用するにはコストが高いなど、うまくマッチするWAFがありませんでした。

    結局、AWS WAFを使うのがスマートだという結論に達し、2019年10月にAWS WAFを導入しました。ところが、思った以上にAWS WAFの運用は大変でした。

  • どのようにAWS WAFの運用は大変だったのでしょうか?

    AWS WAFをそのまま使う場合、自社に合ったルールづくりを行う必要があります。自分でシグネチャを書いてみたのですが、すぐにAWS WAFを運用するには専門的な知識が必須だと分かりました。そもそも検知があった場合どうするべきか、それ自体の定義が難しいので我々では無理だと思いました。

    もちろん、AWS WAFに一日中付きっ切りなら運用できますが、残念ながらリソースは限られています。我々の部門はインフラ全体を見なければなりませんから、AWS WAFの運用に手間はかけたくありません。そこで、AWS WAF運用の解決策を模索することになりました。

WafCharmでAWS WAFの運用を全自動化

  • AWS WAFの運用をWafCharmに求めたということでしょうか?

    AWS WAFの運用を軽減するツールとして、セキュリティベンダーが提供するルールセットのマネージドルールとWafCharmで検討しました。WafCharmを選定したのは以下の理由からです。

    <自動運用&柔軟なルール設定ができる>
    マネージドルールの場合、検知ミスがあった際にルールを変えようとすると、自分でダッシュボードから操作しなければなりません。そうなると、AWS WAFをそのまま運用する場合と大差がなく、導入意図が薄れてしまいます。

    その点、WafCharmはルールをチューニングする手間が不要なうえ、検知ミスがあった場合でも簡単にルール変更できます。この辺りを無料トライアルで確認できたので、導入の障壁は大きく下がりました。

    <著名なセキュリティ会社の製品>
    WafCharmは、クラウド型WAFサービスでトップクラスの導入実績を誇る「攻撃遮断くん」を開発・販売しているサイバーセキュリティクラウドの製品ということで、高い信頼性を感じました。また、24時間365日のサポート体制も安心感がありました。

  • WafCharm導入後の効果についてお聞かせください。

    とくにカスタマイズせず、そのままWafCharmを使っています。利用してわずか数カ月ですが、以下の部分で効果を感じています。

    <すべてWafCharmにお任せ>
    非常にお手軽というのが率直な感想です。WafCharmに任せていれば、とくに何もする必要がありません。何より、自分の業務の負担にならないのがうれしいですね。

    <攻撃の可視化とログの整理整頓>
    脆弱性を狙った攻撃はWafCharmでしっかりブロックされており、それを画面で確認することができます。また、以前は攻撃もエラーも一緒のログに表示されていたため、チェックするのが大変でしたが、今はWafCharmがブロックしてくれているおかげで、ログが汚れることもなくなりました。

    <可視化による気づきを発見>
    WafCharmの可視化が、我々に気づきをもたらしてくれました。例えば、ルートディレクトリにあるzipファイルやconfig.bakをスキャンするアタックがあるとは自分たちでは気付きません。幸いにも、そういったファイルは置いていませんでしたが、今後も「置かないようにしよう」という学びが得られます。

手間をかけずにAWS WAFを最大限に活用できるWafCharm

  • AWS WAFを利用されている企業に向けたアドバイスがあればお願いします。

    AWS WAFを自分たちで運用するとなると、人も時間も取られてしまいます。また、リソースが少ないと、本当に何かあったときすぐに対応できません。そういう意味では、外部の専門会社にお願いする方が効率的だと思っています。事実、当社はWafCharmの導入で、手間をかけずにAWS WAFのセキュリティ機能を最大限に活用することができています。AWS WAFを導入するなら、ぜひWafCharmをおすすめします。

  • 最後に今後のセキュリティ対策についてお聞かせください。

    AWSにはさまざまなセキュリティ関連機能があるので、上手に活用してインシデントに素早く対応できる体制を整えていきたいと思っています。もちろん、WafCharmもこのままエンタープライズのプランで活用し続けていく予定です。

    また、サイバーセキュリティクラウドには、脅威に関する全体の傾向やサマリーなど、可能な範囲で構いませんから情報共有いただけると助かります。こうした情報は、我々にとって脆弱性対応の優先度確認や社内周知に役立ちます。今後もご支援を期待しています、引き続き、よろしくお願いします。

  • ありがとうございました。