株式会社JTB

当社は旅行事業を中心に展開しており、旅行に関わるWebサイトやWebシステムを数多く運営しております。

Webシステムソリューション部は、Web販売事業部が運営するWebサイトの企画・運用・保守を担当する部署です。UI/UXの改善やコンテンツ強化に加え、セキュリティの管理も担っています。

IT企画チームは、全社基盤の保守・運用に加え、部門をまたがるITやシステム関連のプロジェクト推進を担当しています。

当社では長年、自社データセンター上に構築したプライベートクラウドを利用してきましたが、拡張性や運用効率、コスト面に課題がありました。そこで、データセンター閉鎖しパブリッククラウドへの移行を決定しました。

実は以前から、Web販売事業部をはじめとする一部の事業部では、すでにパブリッククラウド上でのシステム構築を行っていました。社内に一定のパブリッククラウドに関するノウハウが蓄積されていたこともあり、パブリッククラウドへの移行は比較的スムーズに決断できました。

当社ではセキュリティの重要性を以前から認識しており、プライベートクラウド環境の時代から、サードパーティベンダーが提供するクラウド型WAFを導入・運用してきました。当社専用チームによる支援や、定例会の開催など、とても手厚いサポート体制が整っていました。

一方で、パブリッククラウドへの移行にあたっては、障害ポイントをできるだけ減らしたいという考えから、クラウドネイティブなサービスであるパブリッククラウドWAFを使ったほうが良いという思いがあったため、パブリッククラウドWAFの活用を想定していました。

また、コスト面においても、パブリッククラウドWAFは従量課金制であり、月額費用を比較すると、従来利用していたサードパーティーWAFよりもコストを抑えられる点が魅力でした。

パブリッククラウドWAFの導入を決めたものの、WAFルールの作成が大きな課題となりました。先ほどお話したとおり、従来利用していたサードパーティーWAFはブラックボックス化している部分が多く、シグネチャ（ルール）の内容の読み解きにかなり苦戦してしまい、どのルールをどのように移行したらいいのか手探りの状況だったのです。

もちろんマネージドルールの利用も検討しましたが、種類が多く、どのルールを選択すべきか判断が難しかった点に加え、マネージドルールだけで今までと同等のセキュリティレベルを担保できるかと不安を感じました。

また、マネージドルールによる誤検知や過検知への対応にも懸念がありました。チューニングのノウハウが社内に十分に蓄積されていなかったため、結果的に運用負荷が従来以上に高くなるのではないかという危惧がありました。

こうした背景から、マネージドルール以外でパブリッククラウドWAFの運用課題を解決できるサービスを探し始めました。

実は、WafCharmという製品自体は以前から知っていました。WafCharmが提供しているAPI Gateway向けのマネージドルールを以前使ったことがあったため、WafCharmの存在は認識していました。

ただ、今回のパブリッククラウドWAFの導入においては、単にルールを適用するだけでなく、運用工数の削減とセキュリティの維持を両立することが重要なテーマした。その点で、個別のマネージドルールよりパブリッククラウドWAFの運用を包括的に自動化できるWafCharmが最適だと判断をしました。

特にIPブロックリストの自動運用機能は魅力的でした。手動で運用する場合、攻撃元となる悪意のあるIPをログから一つひとつ特定し、ブロックリストへ登録していく必要があり、大きな負担になります。WafCharmであれば、悪意のあるIPを自動的にブロックリストに登録してくれるので、手放しで運用できるため高く評価しました。

また、WafCharmはパブリッククラウドのMarketplaceで提供されているため、パブリッククラウド事業者のお墨付きがあるという安心感がありましたね。

さらに、日本語によるサポート体制もとても重要な点でした。Marketplaceに掲載されているサービスは海外製品が多く、英語でのコミュニケーションはハードルが高いですし、時差の問題で対応が遅れる恐れもあります。その点、国産サービスであるWafCharmであれば、そうした心配がなく、安心して導入できると感じました。

何か問題が起きてから対応するのでは後手に回ってしまいます。だからこそ、コストを抑えながらも、安定したセキュリティ運用体制を構築することが求められていたのです。

やはり、従来利用していたサードパーティーWAFベンダーとの比較が一番の懸念点でした。これまでと同等のセキュリティレベルを維持できるのか、運用を問題なく回していけるのかといった不安の声は社内からもありましたし、正直なところ、私自身も多少の不安を感じていました。

そのような中、WafCharmの商談を進める過程で、サイバーセキュリティクラウド社の担当営業さんから「CloudFastener（クラウドファスナー）」の提案も受けました。パブリッククラウド環境を対象としたフルマネージドのセキュリティサービスで、専任のTAM（テクニカルアカウントマネージャー）が当社環境に合わせたセキュリティ対策を提案・支援してくれる点が特徴です。

WafCharmによってパブリッククラウドWAFの防御力を強化しつつ、CloudFastenerでクラウド環境全体を包括的に監視・強化することで、WafCharmとCloudFastenerを組みわせれば従来と同等のセキュリティ水準を維持できると判断しました。

また、社内に対しても、WafCharmによるWAFの運用自動化と、CloudFastenerによる包括的なセキュリティ体制をセットで説明することで、パブリッククラウドWAF導入と運用に対する懸念を払拭することができました。

「非常に安定している」という一言に尽きますね。導入から数ヶ月経過していますが、特に大きなインシデントは発生していませんし、実際に手を動かしているメンバーからも「ここで困った」「あれが困った」といった声は聞いていないので、問題なく運用できています。

ブロック数についても定期的に確認していますが、特に減少傾向は見られず、従来のサードパーティーWAFと比べても遜色なく、ブロックが必要な通信を適切にブロックしてくれていると感じております。

また、サードパーティーWAFベンダーとのやり取りが不要になった点も大きかったです。これまで実施していたWAFベンダーとの定期的なミーティングが、WAF運用の自動化により不要となり、担当者の負荷を削減することができました。

費用対効果の面でも、WafCharmとCloudFastenerをセットでの導入でも、従来のサードパーティーWAFと比較してコストを抑えながら、同等以上のセキュリティレベルを維持できており、非常に満足しています。

セキュリティは今や事業継続における最重要課題だと考えています。昨今、大手企業のセキュリティインシデントのニュースが世間を賑わせていますが、あれだけの大企業であってもインシデントが発生してしまうことを考えると、セキュリティに「これで十分」という終わりはないんだと実感しています。日進月歩で進化する攻撃に対処できるように、私たち自身も立ち止まることはできません。

また、当社ではグローバル展開にも力を入れているため、今後はグローバルを見据えたセキュリティ体制の構築も重要だと考えております。

セキュリティを強化するためにセキュリティサービスの導入は必要不可欠ですが、数多く導入すれば良いというわけではないと考えています。

「今までやっていたから同じように入れればいい」ではなく、自社の要件をしっかりと定義したうえで、その要件に合ったサービスを選び導入することが重要です。

また、セキュリティはサービスを導入しただけでは十分ではないので、導入後の運用をどのように行うのかまでしっかり考慮する必要があります。すべてを外部に任せきりにするのも望ましくありませんし、完全な内製化も人材やリソースの観点からに難しいと思います。領域ごとに、内製化すべき部分と外部に任せるべき部分を見極め、バランスの取れた運用体制を構築することが大切だと考えています。