自社サービスのセキュリティ対策が課題

  • WafCharmの導入背景をお聞かせください。

    「小さく始めて、情報を育て、チームを育てる」をコンセプトに、クラウドで提供している当社の情報共有サービス、DocBaseのセキュリティ対策に WafCharm導入をしました。まずは、そのDocBaseの概要からお話させていただきます。

    DocBaseは最初からきちんとしたドキュメントをつくるのではなく、個々が投稿した小さなメモ書きを情報として蓄積し、それをチームやグループで共有するツールです。複数のメモをまとめて整理する機能や、複数のチームやグループで共通したいメモを選択して公開する機能も搭載。投稿をコミュニケーションツールに通知することもできます。プロジェクトの情報や技術情報はもちろん、会社の規約や労務情報なども蓄積できるため、会社単位で導入されるお客様も数多くいらっしゃいます。

    リリースして約6年、大企業からスタートアップ企業まで約1万社の企業にお使いいただいているDocBaseですが、セキュリティ対策は長年の課題でした。当然、DocBaseのユーザーである企業の方々からも、セキュリティ対策について問い合わせをいただくことがありました。

DocBaseのシステムに対応し安価に利用できるWAFが見つからない

  • セキュリティ対策に時間を要した理由をお聞かせください。

    株式会社クレイ 代表取締役 天野 充広氏

    DocBaseはクラウドのサービスですので、セキュリティ対策としてWAFの導入を考えました。しかし、以下の理由でなかなかDocBaseに合致するWAFが見つかりませんでした。

    <環境の問題>
    システムの都合上、お客様ごとにURLを割り当てる仕様でサービスを提供しています。ところが、この環境で利用できるWAFは少なく、探すことにも手間がかかりました。

    <コストの問題>
    DocBaseは日常的に業務で利用するツールです。数万人のアクティブユーザーが毎日利用すれば、膨大なアクセス数になります。こうした環境にWAFを導入すると、当社の経営規模ではカバーしきれないコストが発生してしまいます。これまで通り、DocBaseを提供し続けていくためには、安価に導入かつ運用できるWAFが必要でした。

    <運用の問題>
    DocBaseはAWSでサービスを提供していましたので、当然、AWS WAFは有力な候補でした。しかし、シグネチャを自社で書く必要があるなど、ルールづくりを含めた運用が難しく、日々の業務で忙殺されている当社にとってAWS WAFはハードルが高い存在でした。AWS WAFと一緒にマネージドルールを導入する手もありましたが、マネージドルールにはサポートがありません。そうなると、万が一トラブルが発生した際には、すべて自社で対応しなければなりませんからハードルは高いままです。

受託案件からサイバーセキュリティクラウドにたどり着く

  • サイバーセキュリティクラウドにたどり着いた背景をお聞かせください。

    受託開発の案件でWAFを検討している際、候補のひとつにサイバーセキュリティクラウドの攻撃遮断くんが挙がりました。そのとき、コストパフォーマンスが高い攻撃遮断くんならDocBaseのWAFに合致するのではないかと思いました。そこで2020年の夏頃、サイバーセキュリティクラウドに問い合わせをいたしました。

AWSなら自動運用サービスの WafCharmで対応できる

  • 攻撃遮断くんではなくWafCharmを選択したのはなぜですか。

    サイバーセキュリティクラウドには、親切・丁寧にDocBaseの環境や利用状況をヒアリングしていただきました。その結果、攻撃遮断くんは「アクセス数を考慮するとコストの増大は避けられない」「インフラの構成上、運用が難しいかもしれない」ということで、別のソリューションであるWafCharmを紹介していただきました。

    WafCharmはAWS WAFとセットで利用する前提でしたから、環境の問題はありません。懸念していたコストの問題も、サイバーセキュリティクラウドの提案のなかでは予算の範囲内。しかも、WafCharmはあらかじめシグネチャが用意されており、我々でルールづくりを行う必要がありません。シグネチャは自動更新されるということで、日々発生する脅威にも対応できます。ついに「DocBaseに最適なWAFが見つかった」と思い、すぐにWafCharmを導入しました。

サポート付きですべてお任せできるところに満足

  • WafCharmの導入効果をお聞かせください。

    株式会社クレイ エンジニア 浅海 拓来氏

    2020年9月に導入しましたが、本当に満足しています。具体的には、以下の部分でWafCharmを導入して良かったと実感しています。

    <すべてお任せできる>
    今のところ大きなトラブルもなく、すべてお任せで運用することができています。AWS Managementコンソールから運用状況の把握、WafCharmの管理画面からはレポートも確認も可能です。すべてお任せであっても、守られている感覚は実感できています。

    <セキュリティ対策をアピールできる>
    WafCharmの導入により、DocBaseを利用ユーザーに対してセキュリティ対策をしっかりアピールできるようになりました、今後、信頼できるサービスとしてDocBaseが認知されていくことを期待しています。

    <24時間365日の安心サポート>
    DocBaseはユーザーがメモを自由に投稿できるため、メモ内容の文字列によってはWafCharmに検知されてしまう場合がありました。また、お客様からアクセスできないなどの問い合わせがあった際を含め、原因と対策をレクチャーしていただきました。このとき感じたのは、24時間365日の安心感です。連絡すればすぐ対応していただける点も満足しています。

    <高いコストパフォーマンス>
    利用しているのは最上位のエンタープライズプランですが、費用には満足しています。ただ、DocBaseのWebリクエスト数はすでに1億を超えており、ユーザー数が増えればさらに増加していくのは間違いありません。この辺りに関して、サイバーセキュリティクラウドと前向きなお話ができればと考えています。

受託案件でもAWS WAFとWafCharmのセット提案を検討

  • WafCharmで考えている今後の展開があればお聞かせください。

    受託開発で請け負っている案件はクラウド利用がベースのシステムも多いため、セキュリティ対策としてはWAFがかなりの頻度で議題に上がっています。ただし、大規模なシステムになるとコストもかかりますから、二の足を踏むお客様も少なくありません。そんなとき、AWSをお使いのお客様ならAWS WAFとWafCharmのセットを提案できるかもしれないと考えています。

AWSならAWS WAFとWafCharmのセットが第一候補

  • WAFの利用を検討されている企業に向けたアドバイスがあればお願いします。

    セキュリティ対策としてWAFを導入したのはいいけど、トラブルでシステム稼働が停止しては意味がありません。その点、WafCharmはあくまでもAWS WAFの自動運用サービスですから、トラブルの元になるような独自性の不安がなく安心して導入できます。AWSの場合、WAFの選択肢があまりありませんから、AWS WAFとWafCharmのセットを第一候補として考えるのがおすすめです。

  • ありがとうございました。