AWS移行のタイミングでAWS WAFの導入を決めたが運用負荷に対して不安があった

  • はじめに、御社の事業と新谷さま・鈴木さまの役割についてお聞かせください。

    弊社は、旅行情報系のメディアサイトを複数運営しています。観光地の紹介や旅行プランに関する情報を発信しており、多くのユーザーに利用されています。

    私たち情報システム部システム開発チームは、弊社より提供されている幅広いデジタルサービスを担当しています。私はAWSインフラを担当しており、AWS環境の設計・開発・運用とシステム全体の監視を行っています。

    もう一人の担当である鈴木はセキュリティを中心に見ており、AWS WAFの日々の運用や管理は鈴木が中心に行っています。

    株式会社JTBパブリッシング 経営企画本部 情報システム部 システム開発チーム リーダー 新谷 迅氏
  • WafCharmを導入した背景を教えていただけますか?

    2021年頃より、従来利用していたグループ全体のプライベートクラウドからAWSへの移行を実施いたしました。移行に伴い、プライベートクラウド内で専門ベンダーが運用していたグループ共通のWAFが利用できなくなるため、新しいWAFの導入が必要となりました。

    WAFの導入検討にあたっては、AWS WAFとサードパーティー製のクラウド型WAFを比較しましたが、AWSとのインテグレーションに懸念があったことと、コスト面の理由からサードパーティー製のクラウド型WAFは見送り、AWS WAFの導入を決定しました。

    ただし、AWS WAFの導入に際しては運用負荷が大きな懸念でした。移行前と同じセキュリティレベルを維持するためには、仮にAWSの提供のマネージドルールのみを適用したとしても、複雑なカスタムルールの作成やブロックリストの手動管理など、継続的な運用が大きな負担になると予想されました。

    人的リソースが限られる中、従来のWAFと同等のセキュリティレベルはAWS WAFのみで実現することが難しいと判断し、高いセキュリティレベルを保ちながらAWS WAFの運用負荷を抑えることができるWafCharmの導入を検討し始めました。

  • WafCharm導入の決め手を教えてください。導入前に懸念点はありましたか?

    AWS WAFの運用を自動化し、人的負担を大きく軽減できることが、WafCharmの大きな魅力です。特にIPブロックリスト運用においては、WafCharmによって悪意のあるIPアドレスが自動的にブロックリストに登録されるため、手動運用による作業負荷が大幅に削減され、業務効率の向上につながると期待していました。

    一方で、WafCharmを使っても最終的にはカスタムルールを自分たちで作成しなければならいのでは、という不安がありました。あくまで汎用ルールであり、WafCharmを導入しても高いセキュリティレベルを保つために細かい調整を自分たちで行う必要があるのだろうと考えていました。

    また、WafCharmによる誤検知が多発し運用負荷が増加するのではないかという心配もありました。自動化サービスなので、どのようなアルゴリズムで動いているのかわからず、必要なアクセスまでブロックされ、その対応に追われるのではないかという懸念もありました。

    ただし、いずれも実際に導入してみないとわからない部分があるため、まずは導入して効果を検証していくことにしました。

    株式会社JTBパブリッシング 経営企画本部 情報システム部 システム開発チーム リーダー 鈴木 健史氏

ブロックリストの自動運用と手厚いサポートで安心してAWS WAFを運用できています

  • WafCharm導入後の効果はいかがでしょうか?

    非常に良いと感じています。WafCharmのルールはセキュリティのエキスパートによって常に最新の状況に運用・管理されているので、セキュリティレベルの高さに対する安心感があります。IPブロックリストの登録も、WAFの検知履歴をもとにWafCharmが自動で実施してくれるため、管理が非常に楽になりました。

    懸念していた誤検知については、予想よりも少なく、たとえ誤検知が発生した場合でも、WafCharmサポートに相談することで、ルールの追加や調整などに関して無償で迅速に対応してくれます。そのため、誤検知による運用負荷の増加は特に感じません。

    ルールのカスタマイズについても同様で、「特定の通信のみを許可したい」「このような通信はブロックしたい」といった要件を伝えるだけで、WafCharmサポートがルールを調整・追加してくれるため、非常に助かっています。

    自動運用機能と充実したサポートの二本柱により、AWS WAFの運用負荷を抑えながら、高いセキュリティレベルを維持できていると実感しています。

  • WafCharmの先行ユーザーとして、WAF運用で苦労されている企業に向けたアドバイスをお願いします。

    AWS WAFを活用するに適切な運用が欠かせませんが、セキュリティ人材が不足している状況では、自社での運用は非常にハードルが高いと感じます。

    WAF運用を自社でゼロから始めるとなると、AWS WAFやセキュリティに関する専門知識の習得に加え、たくさんのルールを作成し検証する必要があります。しかし、WafCharmを使えば、そういった専門的な部分を任せられるので、大きな負担軽減になります。

    また、WafCharmはサポートが非常に充実しています。海外ベンダーだと時差の問題もあり対応が遅れることもありますが、WafCharmであればそのような心配はなく、導入時の不明点や課題もすぐに問い合わせることができるため、すごく安心できます。

    セキュリティサービスなので、導入において懸念や不安は多少あると思いますが、WafCharmでは無料トライアルも提供されているため、まずは試してみることをおすすめします。

  • ありがとうございました。