アピリッツがクラウド型WAFを選んだ
唯一の理由

アピリッツはインターネットの黎明期より、ウェブサイトのシステム開発や運用 を行っており、特に個人情報を多く扱う「求人サイト」の構築運用において多く のノウハウがあります。求人サイトの場合、安全なサイト運用を求められるため、WAF による防御を前提としたシステム構築を提案する案件が多くありました。

このような背景から、アピリッツは2010年にWAFの月額サービス提供を開始し ました。このサービスは、海外製のハードウェアWAFを冗長構成にし、アピリッ ツによる24時間365日運用監視を提供するサービスでした。また、アピリッツ では顧客サイトの定期的な診断も行っていました。診断で発見された脆弱性は、ウェブサイトにパッチを当てたり、作り直したりすることで脆弱性の対策が求め られますが、WAF をサービスとして提供し、その対策になるシグネチャをアピリッ ツが作成することで、ほとんどのウェブサイトの脆弱性は外部からの攻撃から守 られることになりました。

ある大手保険会社グループの求人サイトに対しても、アピリッツは海外製WAF を導入し、運用を行ってきました。しかし、この海外製WAF では運用面に課題 がありました。具体的な例をあげると、一般的なFirewall やサーバと異なり、海外製 WAFでは再起動時にMaster/Slave の切り替えが正常に行われないことが多々あったのです。年に3-4 回発生するファームウェアアップデートについては、事前に手順書を作成し、リハーサルを行っているにもかかわらず、一度で正しく アップデートが行われずに、毎回サービス停止を伴うトラブルが発生していまし た。このような状況のため、メンテナンス作業は必ず深夜から早朝にかけて行っていました。

また、日本の環境では、海外製WAF で初期設定されている防御ポリシーをそのまま運用すると、誤検知が発生することがありました。例えば、日本でのみ流通 している日本製のスマートフォンやフィーチャーフォンから海外製WAF導入サ イトへアクセスした場合、ブラウザのUserAgent が特殊なため、正常通信がブロックされることがありました。さらに、ファームウェアアップデートにより、文字 長制限(Length Check) のポリシーが強化されたために、以前は問題がなかった通 信が急に遮断されることがありました。ファームウェアアップデートを行う際は、変更内容の確認、及び全設定パラメータのチェックが必要となり、多大なリソー スが必要でした。

アピリッツ 執行役員データイノベーション部長の 西脇氏は、「WAF がエンドユーザの前面に設置され るため、WAF が停止するとサイト自体が停止にな ります。WAF のファームウェアアップデートだけでも手順書作成からリハーサルを事前に実施し、実 際のアップデート作業は深夜早朝帯のメンテナンス 時間で実施する必要がありました。そこまでしても、正常なアップデートができないケースが多々あった ために、その度に原因調査に時間やリソースを割かれてしまい、非常にWAF運用の負荷が高かったです。そこで “手放し運転” ができるWAF サービス への切り替えを検討せざるを得なかったのです」と話します。

2014年より、アピリッツは代替となるWAFサービスの検討を本格的に開始しま した。複数の代替サービスを検討したところ、実績が豊富で、運用までをまとめ てアウトソースでき、既存顧客の満足度を維持できる「クラウド型WAF」の紹介 を受け、取り扱いに踏み切りました。海外製WAF を導入していた大手保険会社グループの求人サイトでは、個人情報保護の観点からWAFの運用が必須となっており、ハードウェアWAF と同等以上の防御性能、パフォーマンスが求められ ていました。アピリッツでは、クラウド型WAF の検証を実施し、約1ヶ月でリ プレースを完了させました。

アピリッツ メディアサービス部 部長の鈴木氏は、「クラウド型WAF の導入は思いのほか簡単でした。Hosts 型のテストなど、インフラの知識がない部門でも手順書 に従えばテストや導入が可能なレベルです。また、手順書ではカバーできない当社 システム固有の問題についても、メールでスムーズに対応いただけました。全体的に、非常に丁寧な導入支援でした」と感想を話します。また、前出の西脇氏は、「技術者の中でも、アプリケーション開発者とネットワーク運用管理者はノウハウが全 く異なり、両立は難しいのです。開発者は総じて運用管理は苦手な傾向にあります。クラウドWAF は、ネットワーク運用管理者がアプリケーションセキュリティ管理 をできるという点に大きなメリットがありました」と語ります。

エンジニアの運用負荷大幅削減により、TCO削減を達成

また、クラウド型WAF導入後の運用についても、「手放し運転」ができています。 実際、アピリッツではクラウド型WAFの保守に関しては、ほとんど時間をかけ ていないとのことです。西脇氏は、「エンジニアの運用負荷が大幅に削減できたた め、TCO 削減できています」と話します。また、実際の運用業務を行うアピリッ ツデジタルビジネス部 サイバーセキュリティラボの千葉氏は、「定期的にクラウ ド型WAF の管理画面で、防御ログをダウンロードして内容を確認する程度で、 それ以外の時間はかけていません」と、運用負荷が軽減したことについて述べて います。

クラウド化を進めるにあたって「安心感」の補完

アピリッツでは、データセンタの仮想化など、所有から利用への移行を進めており、セキュリティもクラウド利用にシフトしたのは必然の流れと考えています。顧客に対して総合的にサービスを提供することを優先的に考えており、アピリッツ社 の自社製のものを提供することには特にこだわっておりません。前出の西脇氏は、「クラウド化を進めるにあたって、お客様から求められるのは「安心感」です。これを実現するためにはクラウド型WAF による安心感は強い味方であり、デジサー トとますます連携を深めていきたいです。」と、今後の展望について熱く語ってい ます。