タワーレコード株式会社

当社タワーレコードは、音楽パッケージの販売を中心に事業を展開しています。近年では、書籍販売やカフェ事業など、音楽というコンテンツを通じて人々の生活を豊かにするために、多角的な事業展開を行っています。

私が所属する、ITサービス本部情報システム1部のミッションはコンシューマー向けのサービス、具体的にはECサイトや店舗イベント用システムなど、お客さまが直接触れるシステムを中心に運用保守し安定稼働させることです。

近年、ECサイトの重要性が高まっており、特にコロナ禍以降、オンラインでの販売が急速に伸びたことで、我々の部署の役割がますます重要になっています。部内メンバーは私を含めて4名と小規模なんですが、他部門やシステムベンダーと協力しながらワンチームで急速に変化する環境に対応し、安全で使いやすいシステムを提供し続けるように業務を遂行しています。

2017年にECサイトをオンプレからクラウドに移行する際に、クラウド環境のセキュリティ対策が重要な課題と認識し、その際にサードパーティのクラウド型WAFを導入しました。

その後ECサイトを中心として関連する新規サービスを立ち上げていく中で、各システムのセキュリティ強度をどのように保つかが継続的な課題となりました。

複数のシステムでクラウド型WAFを共有して利用するか、それとも各システムの特性に応じて個別に対応するかを検討した結果、システムの疎結合性を保ち、障害の連鎖を防ぐために、システムごとに個別のセキュリティ対策を講じる方針を採用することになりました。

弊社のシステムはAWSで構築しているので、当然AWS WAFも選択肢の1つとして検討対象となり、検討の結果、AWS WAFを導入することに決めました。

コスト面もありますが、AWS WAFを選んだ一番の理由はやはりアクセス集中に耐えられる性能面です。ビジネスの特性上、人気商品の発売時やイベント開催時など、ECサイトにアクセスが集中することがあります。万が一WAFの性能が追いつかない場合、アクセスが集中するたびにシステムがダウンして、ECサイトも機能できなくなる可能性があります。

このリスクを回避するため、大量のアクセスが発生しても安定して稼働でき、セキュリティを担保できるWAFが必要です。そこで、これらの課題をクリアするAWS WAFであれば安定性を保つことができると考え、AWS WAFを導入することにしました。

AWS WAF導入初期は、適用するルールは未熟な状態でした。そこで、今後のシステムの拡大も考慮しより高度なセキュリティルールが必要であると考え、関連する各種運用サービスの選定を始めました。

選定にあたって大事なポイントは運用のしやすさです。AWS WAFは優秀でさまざまな機能を備えていますが、適切に運用するには機能や細かい設定をすべて把握する必要があります。

本来であればセキュリティを専門としたリソースを確保し、常にあらゆる情報にアンテナを張って対策を検討する体制が理想ですが、少数精鋭でシステム運用と平行する場合、スピード感や運用負荷の観点で、リスクとなり得ます。

そこで、AWS WAF運用の軽くできる部分は軽くして、現行のメンバーでも運用できるセキュリティ対策を実現するため、AWS WAFのルールを自動的に適用・更新してくれるWafCharmの導入を決定しました。

AWS WAFの運用が大変楽になりました。WafCharmに関しては難しい設定がなくて、管理画面もわかりやすくて良かったです。

直感的に操作が可能となるUIとなっていて、何が設定されているかが見ればわかる洗練された管理画面がすごく助かっています！

あとは導入のしやすさですね。実装が不要で本当に簡単な作業レベルで導入できるので、新しいサービスにも簡単に導入できます。

新規サービスを立ち上げるたびに、どのWAFにするかを検討する必要がなくなりました。すでに運用してきた実績がある、かつ導入がしやすいAWS WAFとWafCharmのセットが弊社のスタンダードになりました。

WafCharmは、非常に導入しやすいサービスなので、ぜひ一度試してみることをおすすめします。

従量課金制ですし最初は無料トライアルもあるので、実際に使ってみて、求めているセキュリティレベルに達しているか、運用が容易かどうかを確かめるのが良いと思います。仮に違うと感じたとしても、別のサービスを検討する動きは取りやすいので、導入してみてマイナスになることはそうそうないと思います。