インシデントドリブンの状況から脱却するためWafCharmを導入

  • WafCharmの導入経緯をお聞かせください。

    ココナラには会員登録数314万人以上(2022年8月現在)の個人情報のほか、購入後も納品までさまざまなやり取りがあるオンライン完結型サービスのため、守らなければならない情報が膨大にあります。当然、会員様に安心してお使いいただくためには、万が一の情報漏えいも許されません。ココナラとココナラ法律相談はAWS上で稼働していたため、セキュリティ対策のひとつとしてAWS WAFを導入していました。

    ただ、当時のインフラ担当チームは限られたリソースのなか、インフラや社内システムの企画・運用、さらにSRE(Site Reliability Engineering)と業務領域が多岐に渡っていたため、AWS WAFを上手く活用できていませんでした。具体的に言うと、AWS WAFのルール設定は常にインシデントドリブンの状況で、後追いを余儀なくされていました。幸い、大きな障害は発生していなかったものの、このままでは負担が大きく、セキュリティ対策としても問題があり、2017年にAWS WAFの自動運用ができるWafCharmを導入しました。

WafCharm導入後もマネージドルールに依存

  • WafCharm導入で状況は変わりましたか。

    大きく変わったと言いたいところですが、そのときはマネージドルールも併用しており、実はマネージドルールの方に依存していました。当時は本当に多忙だったらしく、なかなかWafCharmの運用に手をかけている時間がなかったようです(※今回、インタビューにご協力いただいた川崎氏は2020年に着任)。もちろん、WafCharmの運用はまったく難しくないのですが、当時はマネージドルールにお任せで、緊急を要するときは直接AWS WAFに手を入れるといった使い方でした。

体制を一新しWafCharm利用による新たな取り組みをスタート

  • 川崎氏着任後、WafCharmの利用方法は変わったのでしょうか

    AWS WAFの運用を自動化してしてくれるWafCharmを導入しているのに、利用しない手はありません。そこで、AWS WAFがV1からV2に移行するタイミングでWafCharmを復活させ、WafCharmの利用を前提にしたセキュリティ体制づくりに着手しました。ちなみに、V2に移行する際はサイバーセキュリティクラウド社のWafCharmサポートの方々に多大なご尽力をいただきました。

    システムプラットフォーム部 情報システムグループ 兼 システムプラットフォームグループ Group Manager 川崎 雄太氏
  • 新たなセキュリティ対策については、時系列に以下の取り組みを実施しました。

    <1.セキュリティ専任スタッフを確保>
    「情報システムグループ」というセキュリティを管轄する組織を新設し、CSIRTとして セキュリティ対策に専門で携わるメンバーを確保しました。これにより、インシデントドリブンではなく、プロアクティブな防御が可能な体制づくりを推進していきました。

    <2.WafCharm運用の再確認>
    「どういうアクションをすればプロアクティブな防御が可能か?」につなげるため、スタートに立ち戻ってWafCharmでできることやメリットを再確認しました。

    <3.レポーティング機能の活用>
    プロアクティブな防御を推進するにあたり、これまで利用していなかったWafCharmのレポーティング機能を活用することにしました。これにより、リアルタイムなブロック状況と月ごとのブロック状況を把握し、分析することで 今後発生しそうな脅威への事前対策検討ができました.

    <4.ルールのリファクタリング>
    いくら最新のシグネチャを装備していたとしても、いつも万全に対応できるとは限りません。そもそも脅威は日々進化していますから、100点満点のセキュリティ対策は不可能だと思っています。そこで我々でできることとして、ルールがどのように機能しているかをモニタリングしつつ、常にリファクタリングの検討と実行を行うスキームを確立しました。

WafCharmとマネージドルールを併用

  • 今はWafCharmのみを運用しているということでしょうか。

    いいえ、そうではありません。現在もマネージドルールと併用しています。DDoS攻撃のような大量アクセスの攻撃はWafCharmではなく、マネージドルールの方が柔軟に運用できることがわかりました。そこで、WafCharmとマネージドルールを併用し、役割分担させるスタイルで運用をすることで、効率的・効果的な攻撃対策を実現しています。

  • 具体的な運用方法をお聞かせください。

    AWS WAFのルールでトップに位置するのがWafCharmです。そのWafCharmには、SQLインジェクションや明らかに攻撃と分かるブラックリストのIPアドレスなどを止めてもらっています。その下に位置するのがマネージドルールです。マネージドルールにて、DDoS攻撃など大量のアクセスや不審なユーザーエージェントからのアクセスなどを防ぐ2段構えになっています。日次でアクセス状況をモニタリングし、攻撃の予兆がないか?何かプロアクティブに対策できることはないか?を検討し、日々攻撃対策をより良い方向に進めていっています。

    執行役員 開発担当 村上 正敏氏

インシデントドリブンからプロアクティブの体制に

  • WafCharmを本格的に活用するようになった新体制の効果をお聞かせください。

    以下のような効果が得られています。

    <対応頻度の軽減>
    先手を打つプロアクティブな対策ができていますから、突発的な不正アクセスへの対応頻度は確実に減りました。具体的な数字となると、もともとWafCharmを使いこなせていなかった前提となるため比較は難しいのですが、肌感覚で月間30時間前後は削減できている印象を持っています。

    <定期的にブラックリストを自動更新してくれる>
    我々もプロアクティブな対策をしているとはいえ、高い頻度で自動更新されるWafCharmのブラックリストにはかなり助かっています。煩雑になりがちなセキュリティ対策において、悪意のあるIPアドレスを信頼性高く捕捉していただいている印象を持っています。

    <モニタリング体制の構築>
    状況をリアルタイムにモニタリングことができる体制を作ったことで攻撃の有無はもちろん、どのような攻撃がどのレベルで来ているのかなどプロアクティブな防御が可能になりました。実際、月10万件以上の攻撃をWAFで防御できています。また、現在の状況をレポート化し、いつでも経営層に定量的に報告できるようになったのも大きな効果と言えます。

プロダクトの展開に合わせてセキュリティ対策も強化していきたい

  • セキュリティ対策における今後の展開をお聞かせください。

    会員登録数の急増、東証マザーズ(現東京証券取引所グロース市場)への上場、CM放映などにより、今まで以上に攻撃にさらされる機会は増えました。まずは、リアルタイムな攻撃の把握と多重防御の推進に、より一層注力していくことになるでしょう。そのために必要なのは何よりも人材です。セキュリティに対する強い意識があって、大規模なサービスを障害から守り続けていくことに貢献したいという想いがある方に、ぜひ当社のセキュリティ対策を担っていただきたいと考えています。

    今後の事業展開としては、必ずしもココナラに集約するとは限らず、別の事業モデルに切り出して展開する派生サービスもあるかもしれません。そういった場合は、WafCharmを筆頭にセキュリティを担保しながら、事業推進していくことになると思います。

  • WafCharmの先行ユーザーとして、セキュリティ対策で苦労されている企業に向けたアドバイスがあればお願いします。

    セキュリティ対策は目に見える成果が出るところではないため、なかなか投資しにくい部分です。しかし、被害が出てしまってからでは遅いのがセキュリティ対策。攻撃されてから被る損失と、あらかじめセキュリティ対策にかけるコストを天秤にかければ、自ずとセキュリティ対策にかけるコストの方が大幅に安価なのは分かります。特にWebでサ―ビスを展開されている企業の方々には、WAFをはじめ、しっかりしたセキュリティ対策が必要と考えます。特にWafCharmは比較的安価に運用をし始めることができるため、これからセキュリティ対策を行う企業にはおすすめと言えます。

  • ありがとうございました。