株式会社Cells

Azure WAFとWafCharmにより、Azureで運用中のサービスに強固なセキュリティを構築。
リリース予定のフルクラウド版サービスに向け、知見も蓄積できています。

企業概要

社労士事務所の働き方改革と社労士事務所が活躍できるフィールドをサポートし、多くの企業が社労士事務所を通して「企業の健全な発展のためのサービス」を受けられる社会を目指す。
1984年1月、愛知県小牧市で加藤労務管理事務所としてスタート。1998年6月に有限会社セルズを設立し、自社開発した社労士事務所業務を効率的に行うための業務管理ソフトを販売開始。現在は社労士事務所の業務効率化を担う「人事労務統合管理システム台帳」、社労士と顧問先をつなぐ給与計算ソフト「Cells給与」、年金や賃金水準を考慮した最適な給与を設定できる「最適給与クラウド」、社労士事務所に特化した売り上げ管理ソフト「うりあげ君」、第二種特別加入者団体管理システム「一人親方」などを販売。

課題

セキュリティ対策のリソースが不足しているなか、大手企業の顧問をしている社労士からWAFの導入を求められるようになった
主力サービスのフルクラウド版をリリースする前に、WAFの知見を蓄積したい

WafCharmで課題解決

成果

AWS WAFの自動運用で実績があるWafCharmのAzure版により、リソースに負担をかけることなくAzureのセキュリティを強化
クラウドで提供している７つのサービスにWafCharmを適用したことで、クラウドのセキュリティの知見を蓄積できるようになった

WafCharmを
さらに詳しくご紹介！

導入事例集をダウンロード

主力製品の一部機能をクラウドで展開

まず、WafCharm導入に至った背景をお聞かせください。

業務がクラウドにシフトし始めてきたのが背景にあります。2014年に保守契約をWebで締結したいという社労士からの要望に応えたのが最初でした。その後、オンプレミスがメインだった当社のサービスのなかで、マイナンバーの取り扱い（人事労務統合管理システム台帳）や、給与明細のWeb配信（Cells給与）などの一部機能をクラウドで展開。クラウドとオンプレミスのハイブリッドで展開するようになりました。そこで、クラウドのセキュリティ対策を考慮するようになった次第です。

株式会社セルズ代表取締役加藤雅也氏

クラウド版リリース前にセキュリティ対策の知見を蓄積したい

WAF導入を検討するようになった理由を教えてください。

社内外でクラウド活用が本格化するなかで、セキュリティ対策の一環であるWAFの存在を知りました。ただ、ソフトウェア開発やアップデートでリソースが一杯の状況だったため、しばらくはWAFの導入を考える余裕がありませんでした。

その後、WAFの導入を検討するようになった理由は2つあります。ひとつはユーザーである社労士からの声でした。とくに大手企業の顧問をしている社労士からは「顧問先の情報システム部門から、利用サービスに対するセキュリティ対策の問い合わせが増えている」という声があがり始めていました。

もちろん、当社もISO27001（情報セキュリティマネジメントシステム：ISMS）や、ISMSのオプション認証ISO27017（クラウドセキュリティ認証）、プライバシーマーク（Pマーク）を取得し、会社として情報セキュリティ対策に取り組んできました。しかし、大手企業から見れば、情報セキュリティ対策におけるマネジメントシステムの認証取得は当たり前。もっと具体的な対策であるWAFの導入を求められていました。

もうひとつは、クラウドへのシフトが加速しているビジネスの時流を鑑みて、給与計算サービスと人事労務管理サービスを合体した新しい社労士のための新プロダクトをクラウドで提供するプロジェクトがスタートしたためです。フルクラウドとなると、当然WAFが必須になります。ただ、リリース前後に慌ててWAFを導入した場合、「何らかのトラブルがあったときに素早く対処できないのでは？」と考えました。そこで、すでにクラウドで提供している一部機能にWAFを導入し、知見を蓄積しておいた方が得策と思い、WAFの導入を検討することにしました。
Azureを利用している理由をお聞かせください。

当社のアプリケーション開発はマイクロソフト製品をベースに行ってきました。そのため、重視したのはマイクロソフト製品との親和性。それがAzureを選んだ理由です。

サイバーセキュリティクラウドの実績を評価

WafCharm以外に比較・検討したWAFの製品はありますか。

Azureでサービスを展開している以上、WAFも親和性が高いAzure WAFを使いたいと考えました。しかし、当社にはWAFの運用経験がありません。前述の通り、リソースも一杯でしたから、WAFのPoC（Proof of Concept：概念実証）にかける時間も労力もありませんでした。何か良い手立てはないか探していたところ、以前一緒に仕事をさせていただいたことがあるサイバーセキュリティクラウドから、Azure版のWafCharmがリリースされたという話を伺いました。AWS WAFの自動運用で実績があるWafCharmのAzure版ですから、当社としても大いに興味を持ちました。

最終的にはAzure WAFとの親和性、サイバーセキュリティクラウドが展開するセキュリティ対策ツールの実績、最小限のリソースでクラウドのセキュリティを強化できる点がポイントとなり、WafCharmの導入を決定しました。
WafCharm導入の進捗状況をお聞かせください。

当社が導入を検討したのが2021年1月でした。構築は4月からで、6月からは検知モードでの仮運用をスタートさせました。本稼働は、その3カ月後の9月から始めました。
検知モードに3カ月かけた理由をお聞かせください。

当社のリソース不足で誤検知の確認に時間がかかったことと、誤検知の解決に多少手間取ったためです。誤検知はWafCharmを入れている7つのサービスのなかで利用頻度が高い「事業者マイページ」という機能のところで発生していました。

Azureの仕様が誤検知を誘発

誤検知は解決したのでしょうか。

サイバーセキュリティクラウドと一緒に取り組んで、無事解決することができました。根本的な原因はAzureの仕様です。あるサイズを超えるとすべて検知するという仕様であることが分かりました。

サイバーセキュリティクラウドの提案で誤検知を解決

誤検知の解決方法を教えてください。

Azureの仕様では解決が難しいと思い、「事業者マイページ」のところだけWafCharmを外すことも考えました。しかし、サイバーセキュリティクラウドのエンジニアは解決策を探り続け、最良の提案をしていただきました。それは7つのサービス全体をひとつのユニットで監視するのではなく、「事業者マイページ」のところだけ別ユニットにしてルールを分けるという方法です。

本稼働後は快適に動作し、不正アクセスも可視化

本稼働後、WafCharmの評価をお願いします。

本稼働前にもう一度ルールの見直しなどを行った効果もあって、本稼働後はほとんど誤検知がなく快適に動作しています。ユーザーからのクレームもありません。このほか、WafCharmについて当社が評価しているのは以下の点です。

＜不正アクセスを可視化できる＞
やはり不正アクセスを可視化できているのは素晴らしいと思います。1日あたり多いときには50～60ぐらい、月では500ぐらいが不正アクセスとしてブロックされています。ほとんどが海外からやってくるbotのアクセスですが、確実にブロックされていることが分かるのは本当に安心できます。

＜親身になってくれるサポート＞
誤検知の解決時もそうでしたが、サイバーセキュリティクラウドのサポートはいつも親身に対応してくれます。レスポンスが早く、解決のための提案があるので、本当に助かっています。可視化に関しても、Azureの機能を使って見やすくする方法まで指南していただきました。
今後のクラウド展開をお聞かせください。

このままWafCharmを運用していけば、フルクラウド版の人事労務統合管理システム「FORROU」のリリース前までには知見を蓄積できそうです。セキュリティ対策を担保できれば、あとは製品開発に全力を注ぐのみです。これからが佳境ですが、全力で開発にまい進していきます。

Azure WAFとWafCharmのセットがおすすめ

WafCharm導入の先行ユーザーとして、Azure WAFの運用に苦労されている企業に向けたアドバイスがあればお願いします。

多くのリソースを割く必要なくセキュリティを強化できる点は本当に有り難いと思っています。開発に集中するためにも、Azureでサービスを展開している企業であれば、Azure WAFとWafCharmをセットにしてセキュリティを担保することをおすすめします。
ありがとうございました。