メディアプラットフォームのnoteにWafCharmを導入

  • WafCharmを導入したサービスをお聞かせください。

    メディアプラットフォーム、note(ノート)にWafCharmを導入しました。2014年4月のサービス開始後、約1,500万件の作品が誕生。会員数は380万人(2021年3月時点)に達しています。

    プロダクトグループ SREチーム 加藤 和也氏

DDoS対策で導入したAWS WAFの運用負荷を軽減したい

  • WafCharm導入のきっかけをお聞かせください。

    AWS WAFを運用する手間やリソースを削減したいというのが、WafCharmを導入したきっかけです。AWS WAF自体は、サイトの信頼性を担保する専門部隊であるSRE(Site Reliability Engineering)チーム発足以前から、DDoS対策としてマネージドルールとセットで運用していました。我々SREチームがAWS WAFとマネージドルールの運用を引き継いだ 後は、DDoS攻撃をモニタリングしつつ、かいくぐってくる怪しいアクセスがあればその都度精査し、危険と判断したIPアドレスをブラックリストに登録してブロックする形で運用を行っていました。

    こうした作業は毎日ではないものの、一日に数回のDDoS攻撃を受けたときは対応に追われます。少数精鋭でインフラ全体の設計から構築、運用、保守まで担っているSREチームとしては、手動で対応しなければならないこの作業に手をかけ過ぎるとリソースのコストが合わなくなってしまいます。そもそも100%完璧なブラックリストをつくったとしても、マイナスがゼロになるだけでプラスの効果を生み出すわけではありません。続ければ続けるほどコストがかかる作業だったため、常々何とかしたいと考えていました。

    また、ブロックに気を取られてしまうと、範囲を広めに登録してしまい、正常なアクセスまでブロックしてしまうことがあります。単にブロックするだけでなく、慎重な精査も必要になってきますから、この作業は時間も労力もかかっていました。

  • WafCharm以外の対策も考えられたのでしょうか。

    「このまま手動で続けていく」「AWS提供のマネージドルールを追加する」「別のWAFを導入する」などの選択肢がありました。「このまま手動で続けていく」は前述した通り、手間やリソースの問題で早々に除外しました。「マネージドルールを追加する」は既存製品を鑑みると、期待するほどの効果は得られないのではないかという懸念が拭えません。「別のWAFを導入する」は通信経路の変更などアーキテクチャの変更が必要になる選択肢となります。アーキテクチャに手を加えた場合サービスの安定稼働を妨げる要因になる可能性や導入コストが高くついてしまうためスピード感を持って対応することが難しいという問題がありました。そこで我々が注目したのがWafCharmでした。

WafCharm はAWS WAFに乗せて利用できる

  • WafCharm導入に至ったポイントをお聞かせください。

    プロダクトグループ SREチーム リーダー 飯野 正之氏

    WafCharm導入に至った具体的なポイントは以下となります。

    <AWS WAFベースで利用できる>
    既存のAWS WAFに乗せて利用できる点が大きなアドバンテージでした。既存のアーキテクチャ変更を行わずに利用でき安心感があります。

    <お任せ運用でカスタマイズも可能>
    WafCharmのシグネチャで自動運用ができ、今までかけていた工数を大いに削減ができることに加えて、誤検知があってもカスタマイズできる点に魅力を感じました。

    <安価で利用できる>
    想定していたコスト感で利用できる点もありがたいと思いました。

    <柔軟なトライアルが行える>
    トライアルが可能ということでしたので、比較・検討に時間をかけるなら「まずは使ってみる方が早い」と考えました。その際、トラフィックが多い本番環境でのトライアルを希望していたのですが、この点も柔軟な対応をしていただきました。

AWS WAFとWafCharmで十分なセキュリティ対策が可能

  • トライアルを経て実運用に至っている現在、WafCharmに対する評価をお聞かせいただけますか。

    AWS WAFとWafCharmの組み合わせでブロックの質を担保できることが分かりましたので、これまで利用していたマネージドルールは外しました。具体的な評価は以下の通りです。

    <お任せでDDoS攻撃をブロックできる>
    これまで当社を悩ませていたDDoS攻撃は、自動的に更新されるWafCharmのシグネチャに任せておけばほぼブロックしてくれます。これにより、手動によるDDoS対策のためのブラックリスト追加作業はほとんど行っていません。この部分はトライアルの時点ですぐに効果を得ることができたため、導入の決め手にもなりました。

    <サポート環境が得られる>
    サイバーセキュリティクラウドのサポートには、本当にお世話になっています。例えば、正常なアクセスをブロックしてしまう誤検知は少なからず発生してしまいますが、これに対して質問を行うと、対応するためのルールがスピーディーに提案されます。セキュリティに関して相談できる環境が整ったと感じています。

    <カスタマイズに対応>
    ユーザー投稿型のサービスを運営しているため、アクセスをブロックするかどうかに関しては細かいチューニングが必要となります意図しないブロックが発生してしまった場合には適宜、ルールをカスタマイズしていただいておりスピーディーに対応いただけるため安心感があります。

SREチーム本来の業務に注力できるように

  • WafCharm導入によって業務における効果はありましたか。

    AWS運用のリソースを削減できたため、インスタンス運用からコンテナ運用に変えるなど、懸案だった既存インフラの刷新をSREチーム一丸で取り組むことができるようになりました。また、SREチームでは以前から社内で使える自前のプロダクトを提供していきたいという構想がありましたが、これに関しても着手できる体制が整いつつあります。SREチームが本来の業務に注力できるようになったと感じていますので、当部門にとってWafCharmの効果は本当に大きなものだと考えています。

まずはトライアルがおすすめ

  • WafCharm導入の先行ユーザーとして、AWS WAFの運用に苦労されている企業に向けたアドバイスがあればお願いします。

    WafCharmはトライアルが簡単に行えます、ですから、検討されるのであれば、まずはトライアルで試してみるのをおすすめします。機能についてはすぐに分かると思いますので、その結果をもとに導入の有無を判断するのが良いかと思います。

  • ありがとうございました。