脱炭素社会の実現に向けて提供する7プロダクトにWafCharmを導入

  • 御社についてお聞かせください。

    当社では脱炭素化の実現に向けて、3つの事業を運営しています。エネルギープラットフォーム事業では、個人・法人向けの電力・ガス切り替えサービスを通じて「エネルギーを選ぶを常識に」すること、EV充電事業では、EVの普及に必要となるEV充電インフラの導入・運用をハードウェア、ソフトウェアの両面で支援するサービスを提供しており、エネルギーデータ事業では、電力・ガス会社向けクラウド型DXサービスを通じて「デジタル化でエネルギーをより効率的に」することを目指しています。さまざまなプロダクトをAWSで運用しており、現在は合計7つにクラウドWAF自動運用サービス『WafCharm』を導入しています。

WAF機能をAWS WAFに移行して運用の利便性向上・コスト低減を目指した

  • WafCharm導入に至った背景・課題をお聞かせください。

    電力・ガス会社に提供しているエネルギーデータ事業の一部プロダクトは、もともとサイバーセキュリティクラウド社のクラウド型WAF『攻撃遮断くん』を導入して運用していました。機能に不満はなかったのですが、WAFも含めて運用する環境をAWSに一本化することで、管理の利便性を向上させると同時にコストダウンも実現できるのはないかと考えていました。

    ただ、単にAWS WAFへ移行しただけでは自分たちでルールを作成してメンテナンスする必要があるため、運用の一部が煩雑になって負担が重くなってしまいますし、新たな攻撃手法が登場した場合に対応が遅れるとセキュリティリスクが高まります。当社には運用できるノウハウや運用に割ける体制もないため、簡単に運用するための自動化サービスを利用する前提で検討を進めました。

    ENECHANGE株式会社 VPoT 兼 CTO室マネージャー 岩本 隆史氏

サイバーセキュリティクラウドの実績を信頼できた

  • WafCharmの導入理由をお聞かせください。

    『攻撃遮断くん』を利用してきて、サイバーセキュリティクラウド社による最新脅威への対応力や運用ノウハウを信頼していたため、同社のWafCharmなら間違いないだろうという安心感があったからです。導入前にトライアルで機能を確かめたのですが、まったく何の問題もありませんでした。

    コスト面でも、当社の場合はAWS WAF + WafCharmの組み合わせに移行するメリットがありました。

誤検知による負担がないなど性能を高く評価し複数のプロダクトにWafCharmを展開

  • WafCharmの評価をお願いします。

    AWS WAF + WafCharmでの運用を始めて1年ほどになりますが、この切り替えに起因するインシデントが発生したという報告はありません。最初はエネルギーデータ事業の1つのプロダクトからでしたが、エネルギープラットフォーム事業に横展開していったのは、WafCharmの実績が社内で認められたからです。今後、新プロダクトを作った場合にもAWS WAF + WafCharmが第1候補になると思います。

    セキュリティ対策としての直接的な価値以外では、大きく4つの価値を実感しています。

    1.導入が簡単で運用も楽にできる
    導入はとてもスムーズで、最初に導入したプロダクトでも1時間程度で作業を終えられました。中身が空のWeb ACL(Webアクセスコントロールリスト)を用意してマニュアル通りにWafCharmの初期設定を行うだけで、必要なWeb ACLのシグネチャが追加されます。また、新たな脅威が登場してもWafCharmにお任せで対応できるので、普段は意識することすらないぐらいです。ネットワークの基本的な知識があれば誰でも導入・運用が可能ではないでしょうか。

    2.誤検知の煩わしさがない
    実は、もしかしたら誤検知が発生するのではないかという不安がありました。問題のないアクセスなのに誤って遮断してしまうとユーザーに迷惑がかかってしまいますし、対応も大変です。また、リクエストの許可設定を増やしていくと管理が複雑になり、設定を誤ってしまうリスクもあります。しかし、そんな事前の懸念に反して、運用している事業部からの誤検知の報告は、これまで一切ありません。

    3.管理者の心理的負担を解放した
    当社では外部の専門家に脆弱性診断を依頼しており、その結果にもとづいて一部のプロダクトだけにWAFを導入していました。今回のAWS WAFへの移行では、まずはトラブルが発生しても影響が少ないところから導入を進める方針を立てたことから、WAF未導入のプロダクトが対象となり、その後も複数のプロダクトに次々と展開していきました。脆弱性診断を受けているとはいえ、管理者としてはDDoS攻撃など悪意のあるリクエストが多数来てしまったらどうしようという不安はありましたので、それが解消された心理面のメリットは大きいです。

    4.低コストでセキュリティ対策を強化できた
    かなりリクエストの多いサービスにも導入しましたが、コスト上昇のインパクトはあまり大きくありません。コスト算出では運用の負担も考慮すべきですが、これまで紹介したとおり大きな負担を強いられることはなく、コストを抑えつつAWS WAF + WafCharmの適用プロダクトを増やしてセキュリティを強化できました。

学習コストを必要とせずスムーズに導入できセキュリティ強化できる

  • 今後進めたいと考えているセキュリティ対策はありますか。

    サービスを停止する必要があるため、『攻撃遮断くん』からAWS WAF + WafCharmに移行できていないプロダクトがありますので、できるだけ早期に実現したいと考えています。

    また、さらにセキュリティ対策の水準を上げるため、AWS Well-Architected Frameworkを参考にしながら各プロダクトのレビューを進める予定です。加えて、ガバナンス強化のための見直しも進めるつもりです。

  • WafCharm導入の先行ユーザーとして、導入を検討している企業に向けたアドバイスがあればお願いします。

    トライアルはスムーズに案内していただけましたし、実際に導入するときにも本当に順調でした。WafCharmに対して「学習コストが発生しそうだ」とためらっている方がいるかもしれませんが、まったく心配ありません。また、誤検知を気にしすぎる必要もないと思います。

    特におすすめしたいのが、人材やコストの制約が厳しくてセキュリティ対策が後回しになりがちなスタートアップやベンチャーです。手間やコストを大きく増やさずにセキュリティを高められるので、本来注力すべき開発業務などへの影響が少なく、スタートアップにはピッタリではないでしょうか。

  • ありがとうございました。