株式会社クレイ

WafCharmの導入により、日々数万人のアクティブユーザーが利用するDocBaseのセキュリティ対策を安価に構築することができました。

企業概要

2007年設立のWebシステム会社。「デモンストレーションとフィードバックを繰り返しながら開発するアジャイルソフトウェア開発ができること」「プラットフォームに縛られずに多様なデバイスやクライアントに対応したアプリケーションを開発できること」「HTML5などの標準技術を使ったリッチなウェブアプリケーションを開発できること」が同社の強み。受託開発と自社サービスの運営が事業の柱になっている。自社サービスは、小さなメモから始めてチームを育てるDocBase、写真をまとめてドラッグ&ドロップするだけでオンラインアルバムが作れるSORTIEを展開。

課題

お客様ごとにURLを割り当てる仕様のDocBaseに対応できるWAFが見つからない
膨大なアクセス数でも安価に利用できるWAFを求めていた
AWS WAFのルールづくりが難しいため、AWS WAFは導入が困難

WafCharmで課題解決

成果

WafCharmは、DocBaseの環境にも導入が可能
WafCharmは低価格なサブスクリプションで運用できる
AWS WAFとWafCharmのセットにより、すべてお任せで運用できる

開発力を武器にWebシステムの受託開発や自社サービスを手掛ける株式会社クレイ。今回は代表取締役の天野充広氏、エンジニアの浅海拓来氏に、AWS WAF 自動運用サービス「WafCharm」を導入した経緯と効果について詳しく伺いました。

WafCharmを
さらに詳しくご紹介！

導入事例集をダウンロード

自社サービスのセキュリティ対策が課題

WafCharmの導入背景をお聞かせください。

「小さく始めて、情報を育て、チームを育てる」をコンセプトに、クラウドで提供している当社の情報共有サービス、DocBaseのセキュリティ対策に WafCharm導入をしました。まずは、そのDocBaseの概要からお話させていただきます。

DocBaseは最初からきちんとしたドキュメントをつくるのではなく、個々が投稿した小さなメモ書きを情報として蓄積し、それをチームやグループで共有するツールです。複数のメモをまとめて整理する機能や、複数のチームやグループで共通したいメモを選択して公開する機能も搭載。投稿をコミュニケーションツールに通知することもできます。プロジェクトの情報や技術情報はもちろん、会社の規約や労務情報なども蓄積できるため、会社単位で導入されるお客様も数多くいらっしゃいます。

リリースして約6年、大企業からスタートアップ企業まで約1万社の企業にお使いいただいているDocBaseですが、セキュリティ対策は長年の課題でした。当然、DocBaseのユーザーである企業の方々からも、セキュリティ対策について問い合わせをいただくことがありました。

株式会社クレイ代表取締役天野充広氏

DocBaseのシステムに対応し安価に利用できるWAFが見つからない

セキュリティ対策に時間を要した理由をお聞かせください。

DocBaseはクラウドのサービスですので、セキュリティ対策としてWAFの導入を考えました。しかし、以下の理由でなかなかDocBaseに合致するWAFが見つかりませんでした。

＜環境の問題＞
システムの都合上、お客様ごとにURLを割り当てる仕様でサービスを提供しています。ところが、この環境で利用できるWAFは少なく、探すことにも手間がかかりました。

＜コストの問題＞
DocBaseは日常的に業務で利用するツールです。数万人のアクティブユーザーが毎日利用すれば、膨大なアクセス数になります。こうした環境にWAFを導入すると、当社の経営規模ではカバーしきれないコストが発生してしまいます。これまで通り、DocBaseを提供し続けていくためには、安価に導入かつ運用できるWAFが必要でした。

＜運用の問題＞
DocBaseはAWSでサービスを提供していましたので、当然、AWS WAFは有力な候補でした。しかし、シグネチャを自社で書く必要があるなど、ルールづくりを含めた運用が難しく、日々の業務で忙殺されている当社にとってAWS WAFはハードルが高い存在でした。AWS WAFと一緒にマネージドルールを導入する手もありましたが、マネージドルールにはサポートがありません。そうなると、万が一トラブルが発生した際には、すべて自社で対応しなければなりませんからハードルは高いままです。

受託案件からサイバーセキュリティクラウドにたどり着く

サイバーセキュリティクラウドにたどり着いた背景をお聞かせください。

受託開発の案件でWAFを検討している際、候補のひとつにサイバーセキュリティクラウドの攻撃遮断くんが挙がりました。そのとき、コストパフォーマンスが高い攻撃遮断くんならDocBaseのWAFに合致するのではないかと思いました。そこで2020年の夏頃、サイバーセキュリティクラウドに問い合わせをいたしました。

AWSなら自動運用サービスの WafCharmで対応できる

攻撃遮断くんではなくWafCharmを選択したのはなぜですか。

サイバーセキュリティクラウドには、親切・丁寧にDocBaseの環境や利用状況をヒアリングしていただきました。その結果、攻撃遮断くんは「アクセス数を考慮するとコストの増大は避けられない」「インフラの構成上、運用が難しいかもしれない」ということで、別のソリューションであるWafCharmを紹介していただきました。

WafCharmはAWS WAFとセットで利用する前提でしたから、環境の問題はありません。懸念していたコストの問題も、サイバーセキュリティクラウドの提案のなかでは予算の範囲内。しかも、WafCharmはあらかじめシグネチャが用意されており、我々でルールづくりを行う必要がありません。シグネチャは自動更新されるということで、日々発生する脅威にも対応できます。ついに「DocBaseに最適なWAFが見つかった」と思い、すぐにWafCharmを導入しました。

株式会社クレイエンジニア浅海拓来氏

サポート付きですべてお任せできるところに満足

WafCharmの導入効果をお聞かせください。

2020年9月に導入しましたが、本当に満足しています。具体的には、以下の部分でWafCharmを導入して良かったと実感しています。

＜すべてお任せできる＞
今のところ大きなトラブルもなく、すべてお任せで運用することができています。AWS Managementコンソールから運用状況の把握、WafCharmの管理画面からはレポートも確認も可能です。すべてお任せであっても、守られている感覚は実感できています。

＜セキュリティ対策をアピールできる＞
WafCharmの導入により、DocBaseを利用ユーザーに対してセキュリティ対策をしっかりアピールできるようになりました、今後、信頼できるサービスとしてDocBaseが認知されていくことを期待しています。

＜24時間365日の安心サポート＞
DocBaseはユーザーがメモを自由に投稿できるため、メモ内容の文字列によってはWafCharmに検知されてしまう場合がありました。また、お客様からアクセスできないなどの問い合わせがあった際を含め、原因と対策をレクチャーしていただきました。このとき感じたのは、24時間365日の安心感です。連絡すればすぐ対応していただける点も満足しています。

＜高いコストパフォーマンス＞
利用しているのは最上位のエンタープライズプランですが、費用には満足しています。ただ、DocBaseのWebリクエスト数はすでに1億を超えており、ユーザー数が増えればさらに増加していくのは間違いありません。この辺りに関して、サイバーセキュリティクラウドと前向きなお話ができればと考えています。

受託案件でもAWS WAFとWafCharmのセット提案を検討

WafCharmで考えている今後の展開があればお聞かせください。

受託開発で請け負っている案件はクラウド利用がベースのシステムも多いため、セキュリティ対策としてはWAFがかなりの頻度で議題に上がっています。ただし、大規模なシステムになるとコストもかかりますから、二の足を踏むお客様も少なくありません。そんなとき、AWSをお使いのお客様ならAWS WAFとWafCharmのセットを提案できるかもしれないと考えています。

AWSならAWS WAFとWafCharmのセットが第一候補

WAFの利用を検討されている企業に向けたアドバイスがあればお願いします。

セキュリティ対策としてWAFを導入したのはいいけど、トラブルでシステム稼働が停止しては意味がありません。
その点、WafCharmはあくまでもAWS WAFの自動運用サービスですから、トラブルの元になるような独自性の不安がなく安心して導入できます。AWSの場合、WAFの選択肢があまりありませんから、AWS WAFとWafCharmのセットを第一候補として考えるのがおすすめです。
ありがとうございました。