ペプチドリーム株式会社

WafCharmの導入で、初めての外部公開システムを安心安全にリリースできました！

企業概要

独自の創薬開発プラットフォームシステム：PDPS®（Peptide Discovery Platform System）により、環状ペプチドを活用する創薬研究開発を展開するペプチドリーム株式会社。東京大学発のバイオベンチャーとして2006年に設立され、「医療のあり方や患者さんの人生に変革をもたらす次世代医薬品の創出」という理念を掲げている。

課題

外部からアクセス可能なシステムを初めて構築するため、WAFの導入が急務だった
AWS WAFのルール設定や運用に関する専門的な知識や経験が不足しており、適切に設定・運用できるか不安があった
システム公開のスケジュールが決まっており、限られた期間内でWAFを確実に導入する必要があった

WafCharmで課題解決

成果

想定よりもはるかに短期間で導入が完了し、現在も安定運用を実現している
誤検知は想定より非常に少なく、継続的に安定稼働できている
ルールの可視性が高く、問題やトラブル発生時の原因特定・対応が迅速に行える
国産サービスならではの迅速かつ丁寧な日本語サポートによりで大きな安心感を得られた

WafCharmをさらに詳しくご紹介！

サービス資料を
ダウンロード

外部公開システムの構築でWAFの導入が急務だった

はじめに、御社の事業内容と、お二人の役割範囲についてお聞かせください。

私たちは創薬のベンチャー企業として、医薬品の研究開発に取り組んでいます。私たち研究総務・研究ITグループでは、研究で使用する各種システムの開発・運用を担当しています。

AWSを使ったクラウドインフラの構築・運用は、久保木と私の2人で担当しています。インフラの保守運用の一環としてセキュリティ対策も私たちの業務範囲です。

ペプチドリーム株式会社　経営管理部情報システムグループ兼研究総務・研究ITグループマネージャー　黒沢裕太氏
WafCharm導入のきっかけを教えてください。

外部からアクセス可能な新システムの構築が大きなきっかけでした。今までの社内向けのシステムとは異なり、新しいシステムでは外部の方がアクセスするため、システムの一部をインターネット上に公開する必要がありました。

外部からアクセスできるというのは、当然攻撃者に狙われるリスクも高くなるため、今までより強固なセキュリティ対策が必要となり、WAF導入を決断しました。

ただ、社内向けシステム構築をメインでやってきた私たちにとって、WAFのルールの設定や正しい運用方法などについて、正直なところ知識や経験が十分ではなかったため不安がありました。特に外部公開システムにおける責任の重さを考えると、WAFに関しては外部のサービスや専門家に頼ったほうが良いと考えました。
他のWAFソリューションも検討されましたか？

はい、サードパーティベンダーが提供するクラウド型WAFや、AWS WAFとAWSのマネージドルール（AWS Managed Rules）の組み合わせも選択肢として考えていました。

しかし、今回のプロジェクトではリリース期日が決まっていたため、スピードを優先する必要がありました。サードパーティ製のWAFは、検証から導入までに数日から数週間がかかる可能性があるため、導入しやすいAWS WAFにルールを追加する形が最適だと判断しました。

また、マネージドルールについては、具体的なルールの中身がブラックボックスになっているため、アクセスできない事象が発生した際に、どのルールが原因でブロックされているのかを特定するのが難しそうという懸念がありました。

その点、WafCharmであれば、ルールの詳細を管理画面（コンソール）から確認できるので、トラブルシューティングがしやすいと考えAWS WAFとWafCharmの組み合わせとの導入に決めました。

導入の決め手は、充実した日本語サポートと導入のしやすさ

WafCharmを選んだ決め手は何でしたか？

最大の決め手は、純国産サービスであることです。セキュリティに関わる製品なので、やはり国産であることに安心感がありました。海外製品だと、何かあったときの問い合わせ対応に時間がかかったり、最悪の場合は英語でのサポートになってしまう可能性もあったりしますからね。

また、AWS WAFとの親和性の高さも重要なポイントでした。WAF全体をサービスとして提供するのではなく、AWS WAFにアタッチして簡単に利用できる点が魅力的でした。既存のAWS環境にスムーズに組み込めて、設定も簡単にできると感じました。

ペプチドリーム株式会社　研究総務・研究ITグループ　アソシエイトディレクター　久保木俊彦氏
導入前に心配していた点はありましたか？

最も心配していたのは誤検知でした。WAFを導入すると、正常なアクセスまでブロックしてしまう可能性があります。システムが正常に利用できないと業務に大きな影響を与えてしまう恐れがあるため、そこは懸念点としてありました。

また、導入スケジュールについても不安がありました。初めてのWAF導入なので、技術的な調査は事前に入念に行っていましたが、導入する際に何が起きるか、本当に短期間で設定が完了するのか、間に合うのかという心配がありました。

とはいえ、導入してみないとわからない部分もあるため、まずは導入をしてみました。

ログ検索機能で検知確認やWAF運用も想定以上にスムーズに

実際に導入してみていかがでしたか？

想定よりもはるかに短期間で導入できて驚きました。AWS WAFの設定は別途時間がかかりましたが、WafCharmの設定自体は半日から1日もかからない程度で完了しました。通常こういったセキュリティ製品の導入では、いろいろとハマることが多いと思うのですが、そういったトラブルは全くありませんでした。

誤検知についても、導入してから発生したのは2回程度だけだったので想定より非常に少ないです。誤検知対応もWafCharmの管理画面からログを確認して、どのルールでブロックされているかを特定して対応することで簡単に解決できました。
WafCharmの使い勝手はいかがですか？

ユーザーインターフェースがシンプルで非常に使いやすいです。特によく活用しているのはログの検索機能で、何がブロックされているか、いつブロックされたかを簡単に確認できます。

マネージドルールと比較して、ルールの詳細を確認できるのが本当に助かっています。問題が発生した際に、ログから時間とIPアドレスで何がブロックされているかを確認し、該当するルールを特定してすぐに対応できます。誤検知対応もWafCharmのログ検索機能で想定より早く対応できています。

基本的な調査はWafCharmの管理画面で十分対応できますが、より詳細な分析が必要な場合は、WAFログを出力して別のAWSサービスで補完することも可能です。

AWS WAFの運用経験を糧に、今後構築する外部システムも安心に対応できる

今後の展望はありますか？

最近では、SaaSなどの外部システムとの連携が増え、外部からアクセス可能なシステムを構築する機会も多くなってきています。そのため、外部の攻撃からシステムを守る対策の重要性はますます高まっています。

WAFに関しては、今回WafCharmを導入した経験を通じて、今後同様の案件があった場合にも、よりスムーズに進められると思います。WAFの設定や運用はWafCharmに任せることで運用負荷を抑えつつ、高いセキュリティレベルを実現していきたいと考えています。
最後に、これからWafCharmの導入を検討している企業へのメッセージをお願いします。

想定よりも短期間で導入でき、導入後も安定して稼働しています。外部からの攻撃にも安心して備えられるようになりました。

特に、AWSを利用していて外部向けシステムを初めて構築する企業には、とてもおすすめできます。設定が簡単で、ルールの可視性も高いので、運用面での不安を大幅に軽減できると思います。

セキュリティは責任の重い領域ですが、WafCharmのようなサービスを活用することで、安心してシステムを提供できるようになります。ぜひ導入を検討してみてください。
ありがとうございました。