クラウド型WAF 導入事例 -
株式会社アピリッツ

株式会社アピリッツ

株式会社アピリッツ(以下、アピリッツ)は、ウェブサイトのSEOなどのコンサルティングからサイト開発、運用サポート、効果測定まで、顧客のウェブビジネスの運営をワンストップで提供しています。アピリッツがウェブ構築の上流工程から下流工程の各分野を安心してサポートする上で、外部からのウェブアプリケーションへの攻撃に対してきめ細かく検知・防御するWAF(Web Application Firewall)を顧客へ提案し、WAFの運用サービスを提供することは必然でした。

そこで、海外製WAFを自社環境に設置し、運用してきたアピリッツでしたが、数年間の運用後に自社でのWAFサポートを断念し、シマンテック クラウド型WAFの再販に切り替えました。

なぜ、アピリッツはクラウド型WAFを選んだのでしょうか。その理由は、たった1つ「WAFを手放し運転できること」でした。

非常に負荷の高い海外製ハードウェアWAFの運用

アピリッツはインターネットの黎明期より、ウェブサイトのシステム開発や運用を行っており、特に個人情報を多く扱う「求人サイト」の構築運用において多くのノウハウがあります。求人サイトの場合、安全なサイト運用を求められるため、WAFによる防御を前提としたシステム構築を提案する案件が多くありました。

このような背景から、アピリッツは2010年にWAFの月額サービス提供を開始しました。このサービスは、海外製のハードウェアWAFを冗長構成にし、アピリッツによる24時間365日運用監視を提供するサービスでした。

しかし、この海外製WAFでは運用面に課題がありました。具体的な例をあげると、一般的なFirewallやサーバと異なり、海外製 WAFでは再起動時にMaster/Slaveの切り替えが正常に行われないことが多々あったのです。年に3-4回発生するファームウェアアップデートについては、事前に手順書を作成し、リハーサルを行っているにもかかわらず、一度で正しくアップデートが行われずに、毎回サービス停止を伴うトラブルが発生していました。このような状況のため、メンテナンス作業は必ず深夜から早朝にかけて行っていました。

アピリッツ 執行役員インターネットメディア事業部 事業部長の西脇氏は、「WAFがエンドユーザの前面に設置されるため、WAFが停止するとサイト自体が停止になります。WAFのファームウェアアップデートだけでも手順書作成からリハーサルを事前に実施し、実際のアップデート作業は深夜早朝帯のメンテナンス時間で実施する必要がありました。そこまでしても、正常なアップデートができないケースが多々あったために、その度に原因調査に時間やリソースを割かれてしまい、非常にWAF運用の負荷が高かったです。そこで “手放し運転” ができるWAFサービスへの切り替えを検討せざるを得なかったのです」と話します。

シマンテック クラウドWAFへのリプレースは一か月で完了

2014年より、アピリッツは代替となるWAFサービスの検討を本格的に開始しました。複数の代替サービスを検討したところ、実績が豊富で、運用までをまとめてアウトソースでき、既存顧客の満足度を維持できる「シマンテック クラウド型WAF」の紹介を受け、取り扱いに踏み切りました。海外製WAFを導入していた大手保険会社グループの求人サイトでは、個人情報保護の観点からWAFの運用が必須となっており、ハードウェアWAFと同等以上の防御性能、パフォーマンスが求められていました。アピリッツでは、シマンテック クラウド型WAFの検証を実施し、約1ヶ月でリプレースを完了させました。

西脇氏は、「技術者の中でも、アプリケーション開発者とネットワーク運用管理者はノウハウが全く異なり、両立は難しいのです。開発者は総じて運用管理は苦手な傾向にあります。クラウドWAFは、ネットワーク運用管理者がアプリケーションセキュリティ管理をできるという点に大きなメリットがありました」と話します。

エンジニアの運用負荷大幅削減により、TCO削減を達成

また、クラウド型WAF導入後の運用についても、「手放し運転」ができています。実際、アピリッツではクラウド型WAFの保守に関しては、ほとんど時間をかけていないとのことです。西脇氏は、「エンジニアの運用負荷が大幅に削減できたため、TCO削減できています」と話します。また、実際の運用業務を行うアピリッツ 営業企画部 サイバーセキュリティラボの千葉氏は、「定期的にクラウド型WAFの管理画面で、防御ログをダウンロードして内容を確認する程度で、それ以外の時間はかけていません」と、運用負荷が軽減したことについて述べています。

西脇氏は、「技術者の中でも、アプリケーション開発者とネットワーク運用管理者はノウハウが全く異なり、両立は難しいのです。開発者は総じて運用管理は苦手な傾向にあります。クラウドWAFは、ネットワーク運用管理者がアプリケーションセキュリティ管理をできるという点に大きなメリットがありました」と話します。