電子書籍配信サービスに導入
-
WafCharmを導入したサービスをお聞かせください。
当社がAWS上で展開している電子書籍ストア「ブックライブ」「BookLive!コミック」および、付随するアプリケーションにAWS WAFとWafCharmを適用しました。お客様に向けて提供しているサービスに関しては、すべて適用させていただいています。
知名度アップでサイバー攻撃を懸念
-
WafCharm導入に至った背景をお聞かせください。
当然ではありますが、セキュリティ対策の強化が背景にあります。ブックライブをAWSで展開し始めたのが2016年で、それ以前はデータセンターを利用しオンプレミスでサービスを提供していました。2016年以降、AWSに移行してからもIPのブロックなど、基本的なセキュリティ対策は行っており、大きな問題はありませんでした。
そうしたなか、2018年頃に大規模な広告展開を行ったことでブックライブの知名度がアップ。サイバー攻撃の標的にされやすくなるのではないかという懸念が浮上してきました。DDoS攻撃やインジェクション系のクエリといった悪質な攻撃の増加に備え、今まで以上に強固なセキュリティ対策が必要になるということで、WAFの導入を検討するようになりました。
サイトのレスポンスと著作物の流出防止を重視
-
御社はセキュリティ対策で何を重視していますか。
ひとつはユーザーが快適に読書を楽しめる環境を保つことです。セキュリティ対策によってユーザビリティに支障が出ないか見極める必要があると思っています。実際にユーザーのアクセスはリアルタイムでモニタリングしており、パフォーマンスに問題がないか常にチェックをしています。
それとコンテンツの流出防止です。著作物ですから厳重な管理が必要で、セキュリティ対策は非常に重要なファクターになってきます。WAFにはその一翼を担ってもらいたいと考えました。
AWS WAFのルール設定に障壁を感じる
-
検討したのは、やはりAWS WAFですか。
AWSを利用していましたから、親和性などを考慮するとAWS WAFを適用するのが妥当ということで、早くからAWS WAFの導入は決まっていました。しかしながら、我々だけでルールをカスタムしながら運用していくことはあまりにも障壁が高いと考えていました。
理由としては、導入検討当時はセキュリティの専門知識を持ったスタッフがいなかったこと、セキュリティ対策に専念できる人的リソースがなかったことがあります。そこで、ルールの運用を請け負ってくれるサービスを探すことにしました。
-
AWS WAF を前提に比較・検討したサービスをお聞かせください。
ひとつはマネージドルールです。マネージドルール以外でAWS WAFのルール運用を請け負ってくれるサービスとなると、WafCharm以外にはたどり着きません。検索してすぐに出てくる国内製品はWafCharmだけでした。そこで、マネージドルールとWafCharmを比較・検討しながら選定を進めていきました。
カスタムで誤検知を排除できる
-
WafCharmを選定した理由をお聞かせください。
まず、WafCharmと当時リリースされていたマネージドルール、そしてAWS WAFで、カウントモードのみのPoC(Proof of Concept:概念実証)を行いました。すると、誤検知が非常に多いことが判明しました。
特に誤検知が目立った機能はブックライブの書籍の検索システムです。ブックライブでは技術書も数多く取り扱っており、検索システムでSQLやScriptといった文字列を検索するとマネージドルールは攻撃と見なしてしまい、403エラー(HTTP 403 Forbidden)となる事象が発生していました。
しかしながら、マネージドルールはカスタムすることができません。
さらに、当時のマネージドルールのベンダーは海外企業だったので、技術的な部分の日本語サポートが期待できませんでした。WafCharmの場合はカスタムで対応できるので、サポートにこうした文字列を許可するようにカスタマイズをお願いすればすぐに解決することができました。加えて、日本製かつ日本人による365日24時間サポート体制が提供されているWafCharmは非常に心強かったですね。これらの理由から、WafCharmを選定させていただきました。
トラブルもなく、確実にサイバー攻撃を防御
-
導入後の評価をお聞かせください。
2018年に導入し4年が経過しましたが、今ではセキュリティ対策に欠かせないツールとして定着しています。具体的な評価は以下の通りです。
<工数の削減>
セキュリティ対策の大部分をWafCharmにお任せできているので、工数の削減につながっています。我々は随時ブックライブ周辺のサービスにおける機能改修を行わなければなりませんから、セキュリティ対策で負担が軽減できているのは本当に助かります。しかも、大きなトラブルはまったくありません。本当に順調に運用できています。<セキュリティリスクへの素早い対応>
本稼働後も、ブラックリスト設定などでサポートの方とやり取りをさせていただいていますが、いつも素早いレスポンスで非常に助かっています。先日「Apache Log4jの脆弱性」という非常にセキュリティリスクの高い脆弱性が見つかった際も、即座にそれに対応したカスタムルールをご案内いただきました。おかげさまで、未知のセキュリティリスクというところに対する不安も和らでいます。<攻撃の可視化>
不正アクセスでサーバがダウンしたことはありませんが、検知に該当するアクセスはあるだろうと推測していました。WafCharm導入後はAWS WAFを通じて不正アクセスを可視化できるようになり、推測だけの不安はなくなりました。不正アクセスは一日数百から数万件と日によって違いはありますが、大半はbotで今のところDDoS攻撃の検知はありません。AWS Shield Advancedを併せて利用しているため、すでにAWS WAFで防いでいる場合もあるかとは思いますが、インジェクション系の攻撃は定期的に毎日きていますから、しっかり防御できている実感はあります。<レスポンスタイムへの影響がない>
AWS WAFとWafCharmを挟んだことでレスポンスタイムに影響が出ないか若干不安がありましたが、それは杞憂でした。まったく問題なく、ユーザビリティを損なう事象も皆無でした。
WafCharmで心理的な余裕が得られる
-
WafCharmの先行ユーザーとして、AWS WAFの運用に苦労されている企業に向けたアドバイスがあればお願いします。
セキュリティ対策は「あれを入れたから大丈夫」「これを入れたから大丈夫」ということはありません。サイバー攻撃は常に高度化・多様化し続けており、その情報のアップデートは欠かせないところで、緊急時に対応できる知識は常に必要だと思っています。しかし担当部門も開発業務にリソースを取られるなか、より高度な情報をキャッチアップし、スピーディーな対応をし続けていくことに課題を感じていました。
そうした状況でも、WafCharmという強力な盾があれば心理的な余裕が得られます。安全が保たれている状態だからこそ、開発に携わるメンバーでもセキュリティ対策に必要な知識のアップデートは余裕を持って行うことができます。加えて、セキュリティ対策の専門的な知見を持った方々がサポートしてくれる点も、WafCharmの大きなアドバンテージです。クラウドでサービスを展開されている企業は、ぜひWafCharmの導入検討をすることをおすすめします。