Salon de NetにAzure WAF とWafCharmを導入

  • WafCharmを導入したサービスをお聞かせください。

    美容室・美容院、ネイル、アイラッシュなどの業種・業界を中心に、単店舗から多店舗展開のサロンまでさまざまな経営スタイルに適応した売上管理・顧客管理・経営管理システム「Salon de Net」にAzure WAF とWafCharmを導入しました。

    近年ではカラーのみの施術を行う専門店やフリーランス美容師をターゲットにしたシェアサロンなど、美容サロンの経営も多様化しており、それに伴い「Salon de Net」も美容サロン向けセルフレジ「Smooth Self & Ticket」や、LINEと連携をしたデジタル会員証・予約サービス「Salon de Net for LINE」など随時新サービスを開発・リリースしてサービス強化を図っております。

    株式会社ハイパーソフト 美容営業事業部副部長 マーケティンググループ 統括責任者 木透 真悟 氏

クラウドのセキュリティ対策でWAFに着目

  • WafCharm導入に至った背景・課題をお聞かせください。

    大きくは以下4つの背景・課題がWafCharmを導入した理由です。

    <クラウド移行にともなうセキュリティ対策>
    Salon de Netは約20年前から提供していたサービスで、当初はデータセンターを活用したオンプレミスで開発・運用をしていました。サーバやネットワークの運用・保守をエンジニアが兼任している状況から脱却したいという想いから、クラウドへの移行を模索。約5年前からオンプレミスとクラウドを併用して稼働させていましたが、ようやく2021年にすべてのシステムをクラウドに移行することができました。ただし、クラウド移行によってファイアウォールでは検知できない脅威に対し、追加のセキュリティ対策が必要となってきました。そこでWAFの導入に着目した次第です。

    <2009年に取得したPマークの要求事項が増加>
    2009年に情報セキュリティ認証のひとつプライバシーマーク(Pマーク)を取得し、継続して運用してきました。しかし、インターネットの普及にともない、Pマークの改定ごとにシステムに対するセキュリティ要求事項が増加。不正アクセスによる情報漏えい事例が多数報告されていることもあり、我々としても、さらなるセキュリティ対策を検討し始めました。

    <安心・安全なサービス提供>
    Salon de Netをご利用されているお客様に安心してシステムをご利用していただくためにも、当社としてはセキュリティ対策にベストを尽くしていることをお伝えする義務があると思っています。そのひとつがPマークです。しかし、本格的なクラウド移行により、24時間365日稼働するSalon de Net自体も強固なセキュリティ対策が必要になってきました。そこで、本格的にWAFの導入を検討し始めました。

  • WAF導入以前、サイバー攻撃の脅威を感じたことはありましたか。

    データセンターで運用していたときは、急に負荷が上がってしまうような不正アクセスがありました。クラウドに移行してからは、情報漏えいにつながるような攻撃はありませんが、脅威と思われる不正アクセスがあることは認識していました。当社としても、こうした脅威から情報を守るため、早々にWAFを導入すべきと考えていました。

  • パブリッククラウドにAzureを選択された理由を教えてください。

    データベースを含め、基本的にマイクロソフト製品を使ったシステム開発がメインだったため、親和性などを考慮しました。それがAzureを選定した理由です。

Azure環境ではシンプルにAzure WAFを使いたい

  • WAFを導入するにあたり、比較・検討はされましたか。

    WafCharm の前に、Azure WAFおよび数製品のWAFで比較・検討をしてました。詳細な見積りまでは取得していませんが、メールや電話のやり取りを通じての比較・検討は行いました。その結果、以下の理由でAzure WAFを選定しました。

    <シンプルな構成でWAFを導入できる>
    Azure WAFならAzureの管理画面から簡単に設定できます。他ベンダーのWAFの場合、DNSを切り替えるにしてもエージェントソフトを利用するにしても、必然的に別のサーバが介入してきます。運用やメンテナンス面、さらに帯域やコストを考慮すると、ネットワークはシンプルな構成かつ安価がベスト。余計な知見を増やさないという意味でも、Azure WAFがベストな選択肢でした。

    <最小限のダウンタイムで導入できる>
    Salon de Netはすで展開しているサービスですから、お客様にご迷惑をおかけしないためにもダウンタイムは最小限にする必要がありました。他ベンダーのWAFの場合、Azure上の複数のサーバに分散したシステムに導入するのは時間も手間もかかるため、かなりのダウンタイムを要してしまう懸念がありました。その点、Azure WAFは設定が容易でタイミングも我々で制御できるため、ダウンタイムは最小限に留めることができます。

Azure WAFの運用を任せられるWafCharm

  • WafCharmの導入理由をお聞かせください。

    Azure WAFを稼働させることができたとしても、大事なのはシグネチャの設定や情報収集・分析のところというのは、我々も十分理解していました。しかし、開発のリソースは開発に集中させたいというが大前提のため、セキュリティ対策を兼任できるリソースはありません。ですので、当初からAzure WAFだけの運用は考えていませんでした。お任せできるところはお任せしたいという考えからピックアップしたのがWafCharmでした。Azure WAFにWafCharmを組み合わせて導入すれば、当社の環境に合わせてシグネチャの設定から更新まで自動的に実施でき、かつコストも安価でしたから、すぐにWafCharmの導入を決めました。

WafCharmによってAzure WAFを手間なく運用できる

  • WafCharmの評価をお願いします。

    2021年1月、WafCharmの導入に関する問い合わせをさせていただき、トライアルを経て同年5月に無事、導入することができました。導入して約1年が経過した現在、以下のようにWafCharmを評価しています。

    <導入の手間がない>
    Salon de Netは機能追加を重ねて開発を進めてきたこともあって、古いシステム部分が脆弱性につながって検知に引っ掛かるのではという懸念がありました。しかし、想定より少なく、範囲も絞られている印象でした。このため、ホワイトリストへの登録などはわずかな手間で済み、導入を阻害する障壁はほとんどありませんでした。また、Salon de Netは他社のサービスとAPI連携している部分もあるのですが、そういったところでもWafCharmが余計なブロックをするようなことはありませんでした。

    <ブロックと検知のみを分けられる>
    当社のお客様はPC主体で業務をしているわけではないため、アクセス元のPCが常に最新機種とは限りません。Windows XP搭載機など、古いPCからアクセスがあった場合はブロックされることもあります。そのためログを確認しながら検知のみのシグネチャに振り分けています。完全にブロックしているのは、いわゆるブラックリストやサーバへの負荷が懸念されるボットなど、明らかな不正アクセスのみに限定しています。このように、アクセスに応じてブロックと検知を簡単に設定できるのがWafCharmの大きな利点だと感じています。

    <パフォーマンスへの影響がない>
    Azure WAFとWafCharmの導入よって、多少はSalon de Netの稼働環境のパフォーマンスに影響が出てしまうのではないかと思っていましたが、それも杞憂でした。速度低下などはなく、これまで通り軽快に稼働しています。もちろん、お客様からの苦情もありません。

    <詳細レポートをエビデンスとして利用できる>
    検出された脅威に関する詳細レポートを提供してくれるAzure Monitorにより、アラートやログなどの情報をトレースすることができます。何かあった場合の調査はもちろん、内部共有する際のエビデンスとして蓄積しておけば、今後、セキュリティ対策を強化するうえで有効活用することができます。

    <解決するまで付き合ってくれるサポート>
    疑問に思った点について問い合わせすると、すぐに詳しい回答をいただくことができ、解決するまでお付き合いしていただけるので、非常に助かっています。

自信を持ってセキュリティ対策をアナウンスできる

  • WafCharm導入の先行ユーザーとして、 WAFの導入に悩んでいる企業に向けたアドバイスがあればお願いします。

    100%防御できるセキュリティ対策はありません。しかし、サービスを展開するうえでお客様に安全を目に見える形でお伝えするというのは、非常に重要なことだと考えています。当社にとって、それがAzure WAFでありWafCharmでした。Azure WAFとWafCharmが導入されていることで、我々の部門だけでなく営業や企画などの部門も、自信を持ってセキュリティ対策をアナウンスできるのはないでしょうか。

    実際に利用している当社から言えるのは、Azureのセキュリティ対策は、Azure WAFとWafCharmの組み合わせがベストな選択のひとつだということ。特にリソースが限られているのであれば、WafCharmは必須だと考えます。皆様にもぜひご検討をおすすめします。

  • ありがとうございました。