株式会社アイオーク

当社は、インターネットシステムを活用し、BtoB市場向け中古車情報ビジネスを展開しています。中古自動車の落札代行、出品代行、輸送手配代行、およびその他の中古車仕入れや販売に関する付帯サービスも提供しています。

おかげさまで近年中古車市場が活発となり、事業も順調に成長しています。国内だけでなく海外からのアクセスも増加しているので、サイトの月間リクエスト数は数億まで増えてきています。

私はシステム部の部長として、オークションサイトのシステム管理・運用を担当しています。主な業務として、AWSの運用を通じて、サイトのセキュリティと安定稼働を支えています。

具体的には、AWS WAFの検知ログを確認し、誤検知や不正なリクエストを見逃さないよう監視を行います。必要に応じてルールの調整もしています。

また、AWSの運用管理のほか、社内ITの問い合わせ対応まで、幅広い業務を対応しています。

システム部が少人数体制ということもあり、AWS WAFの運用にはさまざまな課題を感じていました。

そもそもチームの中にセキュリティやAWS WAFの専門家がおらず、どのようにルールを設定するか、何のルールが必要なのかもわからない状態で試行錯誤しながらAWS WAFの設定をやっていました。

さらに、事業が拡大しリクエスト数が増加してきて、少人数体制で月間数億のリクエストのログを一つひとつ確認・分析することは現実的に困難になっていて、検知ログの確認やルールの調整などのAWS WAF運用業務に十分な時間を割くことができていなかったため、セキュリティ対策の質に不安を感じていました。

はじめは、AWSが提供しているマネージドルールも検討にあがったのですが、マネージドルールでは検知ログの確認や誤検知の判断などの運用業務を減らすことができないため、別のサービスを探していました。

WafCharmについては、親会社である株式会社オークネットでの活用実績があると聞いていたのでまずは無料トライアルで試してみようと思いました。そして、無料トライアルで実際の操作イメージを確認してAWS WAFの運用負荷の軽減に可能性を感じ、導入を進めました。

導入にあたって費用の部分はネックでしたが、現状の課題が明確であり、セキュリティの不備によって情報漏えい事件が発生した場合の損害賠償、つまりリスクの部分に対して、WafCharmの費用が適切かどうかを経営者に判断してもらい、導入の承認を得ました。

また、新たに人員を雇用するコストと比較しても、WafCharmの導入は合理的な選択だと判断できました。

期待通りの効果が得られています。WafCharmを導入することでAWS WAFのルール更新や設定の自動化が実現できています。セキュリティやAWS WAFにおける専門知識が十分でなくても適切なセキュリティ対策を実施できるようになりました。

また、WafCharmにはダッシュボード分析機能が搭載されており、過去のログも含めてWafCharmのダッシュボードで確認することができます。ダッシュボードにあるフィルターを活用することでAWS WAFの分析も簡単にできています。

肌感ではありますが、セキュリティ監視をはじめとするAWS WAFの運用工数が月1～2日分削減できました。月間約20営業日で考えると、約10%の工数削減を実現できたことになるので、私たちのような少人数のチームにとってはとても助かります。

運用の効率化によって捻出できた時間は、新しいセキュリティ施策の検討など、より本質的な業務に充てることができているので、全体的なセキュリティ対策の質の向上にもつながっていると感じています。