Classi株式会社

AWS WAFを利用するなら、24時間365日のサポートが受けられる
WafCharmをセットにして運用したいと考えていました。

企業概要

ベネッセホールディングスとソフトバンクが共同で立ち上げた、学校向けに特化したクラウドサービス「Classi（クラッシー）」の開発・運営会社。「Classi」のユーザーは先生・生徒・保護者で、朝の欠席連絡から授業や面談、キャリア支援、部活動、自宅学習、先生と保護者のコミュニケーションなど、さまざまなシーンで利用されている。PC・スマートフォン・タブレットなど利用するデバイスは問わない。サービス開始からわずか6年で、全国の高校の2校に1校、高校生の3人に1人が利用する学校現場のデファクトツールに成長。コロナ禍の状況においても、学校と生徒・保護者をつなぐライフラインとして多くの学校で利用されている。

課題

すべてお任せではなく、自社のSIEMでログを収集・分析できるようにしたい
AWS WAFのルールづくりが難しく、自社のみでAWS WAFの継続的な運用が困難
なるべく運用コストを軽減したい

WafCharmで課題解決

成果

AWS WAFとWafCharmのセット運用でログを自由に収集・分析できる
難しいAWS WAFのルールはWafCharmのシグネチャにすべてお任せ
WafCharmは低価格なサブスクリプションで運用できる

2014年の設立以降、「ポートフォリオ」「コミュニケーション」「アダプティブラーニング」「アクティブ・ラーニング」の4つの視点から、学校教育を支援する「Classi」を展開するClassi株式会社。今回は、サイバーセキュリティ推進部梅田昌太氏にWafCharmを導入した経緯と効果について詳しく伺いました。

WafCharmを
さらに詳しくご紹介！

導入事例集をダウンロード

AWSと相性が良くインテグレートできるAWS WAFを導入

御社のサービスはクラウドで提供されていると伺っていますが、WAFも導入されていたのでしょうか？

Classi株式会社サイバーセキュリティ推進部梅田昌太氏

2014年から提供を開始した当社のサービスのインフラ環境は、当初からオンプレミスではなくパブリッククラウドを積極的に活用してきました。それにより、当社のサービスを導入くださるお客様の多くから強固なセキュリティ対策を求められていました。つまり、サービスを提供するうえでWAFの導入は必須の要件だったんです。
サービス提供開始のときからWAFを導入されていたのですか？

当初はCDN型のWAFを導入していました。現在はWafCharmがメインですが、一部CDN型も利用しています。
WafCharm導入の経緯についてお聞かせいただけますでしょうか？

当初は、パブリッククラウドとCDN型のWAFを利用していました。2016年2月のAWS切り替え後もCDN型のWAFを使い続けていましたが、コストや機能的な課題を解決するべく、新たなWAFの導入を検討し始めました。その理由は以下の通りです。

＜AWSと相性の良いWAF＞
AWSとインテグレートできるWAFを求めました。例えば、ブロック件数を把握したいとき、APIなどを通じてAWSと連携できるWAFです。簡単に言うとAWSと相性の良いWAFということです。

＜ログを収集・分析したい＞
私の所属しているサイバーセキュリティ推進部は、サイトの信頼性を守るSRE（Site Reliability Engineering）業務の一環としてセキュリティを管轄している部門で、SIEM（Security Information and Event Management）でログを集めて分析するファンクションも有しています。

しかし、既存のWAFはマネージドセキュリティーサービスで運用はベンダー任せだったため、ログの収集や分析はできない状況でした。当社に負担が少ないのは良いのですが、やはり我々としてはログを収集・分析できる自由度を求めました。
新たなWAF導入にあたって、検討された製品について教えてください。

AWSと相性の良いWAFといえばAWS WAFに行き着きます。実際、2019月12月からAWS WAFのPoC（Proof of Concept）を開始したのですが、やはり相性が良いと感じました。例えば、AWS WAFのログはS3のバケットに出力できるため、あとから自分たちで検索や閲覧方法を構築できます。

さらに、AWSのメトリクスは当社で利用しているクラウド運用監視ツールで参照することもできます。こういったところで、AWS WAFに切り替えることを決断しました。

AWS WAFを利用するならWafCharmもセットで運用したい

WafCharmはいつ導入されたのでしょうか？

AWS WAFのPoC開始とほぼ同じタイミングでWafCharmのPoCも行っていました。正直なところ、AWS WAFを利用するならWafCharmもセットにして運用することを念頭に置いていました。
AWS WAFとWafCharmをセットで運用する理由をお聞かせください。

AWS WAFのルールづくりは難しいにつきます。ルールづくりを行うには、我々の部門が行っているSREやSIEMとは別の専門的な知識が必要になるため、ここに労力を使うのは避けたいと考えました。実際、シグネチャを書くこともしていません。当初からAWS WAFを利用する場合は、WafCharmもしくはマネージドルールを利用するのが前提でした。
マネージドルールではなく、WafCharmを選定した理由をお聞かせください。

サポートがあることが最大の理由です。マネージドルールにはサポートがなく、すべて自分たちで運用しなければなりません。その点、WafCharmは何かあったとき、24時間365日のサポートが受けられるので安心です。

PoCの際、トライアルから始められたのも良かったポイントです。検証環境からそのまま本番に移行することができました。さらに、明確な料金体系もポイントでした。

無料でスタートできるWafCharmは試してみる価値アリ

WafCharm導入後の効果についてお聞かせください。

WafCharmにはとても満足しており、導入して良かったと感じています。具体的には以下の点を挙げさせていただきます。

＜自由にカスタマイズできる＞
自分たちが使いやすいようカスタマイズできるところが秀逸です。ログはAWS WAFからそのまま出力できますから、ブロック数や許可されたリクエスト数、アクセスのカントリー、ユーザーエージェントなど、自分たちが見たいデータを収集して分析することが可能。AWS WAFを使用しているので、AWSネイティブでkinesisにインテグレートできます。その先はs3にそのまま出力してもいいですし、lambdaなどで柔軟にカスタマイズ可能です。

＜検知が圧倒的に速い＞
以前は画面でモニタリングしなければ検知が分かりませんでしたが、現在はコミュニケーションツールにアラートがリアルタイムに通知されるため、検知が確実に速くなりました。DevSecOpsの観点からも重要な機能が実装されたと思っています。

＜運用コストを削減＞
初期コストがなくサブスクリプションの料金形態により、とても安価に利用させていただいています。
AWS WAFを利用されている企業に向けたアドバイスがあればお願いします。

WAF運用経験のない方がAWS WAFを使いこなすは容易なことではありません。そんなときは、トライアルはもちろん、無料から始めることができるWafCharmをおすすめします。ローコストですから試してみる価値はあると思います。
最後に今後のセキュリティ対策についてお聞かせください。

コロナ禍という状況のなか、学校が休校になった4月には通常のユーザー数で3倍、リクエスト数で7倍と想定を上回るアクセスがありました。そうした状況でも、我々サイバーセキュリティ推進部が担うのはお客様の情報を守るということ。AWSのマネージドサービスを活用しながら、より強固なセキュリティ対策を推進していきたいと考えています。

加えて、今後もWafCharmは当社のセキュリティ対策の重要な位置付けであることは変わりません。引き続き、よろしくお願いします。
ありがとうございました。