クラウド型WAF 導入事例 -
はとバス様

株式会社はとバス

株式会社はとバス(以下、はとバス)は、都内遊覧バスをはじめバス旅行をウェブサイトで販売・情報発信をおこなっている。旅行を計画しているお客様がウェブサイトをみることで楽しくなるようなウェブサイトを心がけ、24 時間365 日いつでも世界中のお客様にサービスを提供することに力を入れてきた。しかし、ウェブサイトの脆弱性を狙った攻撃を受けたことで、売り上げを生むウェブサイトの運用自体も経営リスクに成り得ることを実感し、クラウド型WAF の導入を判断した。

1. クラウド型セキュリティ対策の利用により1週間でのWAF導入を実現

はとバスでは、1949年より東京名所観光で有名な「はとバス」を運用しており、バス旅行の企画、販売をおこなっている。その販売、広報に占めるウェブの重要性は増しており、総予約数の30%強がウェブサイトを経由した申込みであるため、ウェブサイトは常に止めない運用を行ってきた。その止めない運用を行うためにウェブサイトの運用とファイアウォールなどのセキュリティ対策は協力会社に任せていた。しかし、サービス開始時には想定をしていなかったウェブアプリケーションを狙ったSQLインジェクション攻撃を受けたことで、ウェブサイトの改ざんが行われ閲覧者がウイルスに感染するように仕込まれた結果、ウェブサイトを早急に閉鎖しないといけない状態に追い込まれた。

経営本部総合企画調整部の石川祐成部長は「とにかくスピーディに再開を目指しつつ、しかしきちんと対策を完了させることをターゲットに、ベストの解決方法を模索した。」と語る。当時、システムの入れ替えを目前にしていたこともあり、ウェブシステムには追加で他のセキュリティソリューションを加えるリソースは残っておらず、サーバの購入も検討したが、サーバの購入から導入、設定を考えると1ヶ月は掛かってしまう。そこで見つけたのがクラウド型WAFであった。

対策に有効なソリューション候補として挙がってから、「すぐにトライアル環境も提供され、実際の導入に至るまで約7日間で行われた。」と同総合企画調整部情報システム課の千田友也主任は振り返る。さらにウィルス対策としてクラウド型エンドポイントセキュリティもサーバへ導入。クラウド型で管理サーバが不要なため管理の手間がかからず常に最新の防御が適用される運用を実現した。クラウドサービスである強みを生かし発注処理と並行して準備したテスト環境をそのまま本番稼働へ移行することにより画期的に短期間の対策となった。また、アプリケーションの修正やパッチ当ても行い、季節の商品コンテンツへの更新という作業も含めて17日間というスピードでウェブサイトの再開にこぎつけた。

2. 交通事故や火災と同等の経営リスク

迅速なサービスの導入判断の背景に、会社としての経営判断があったことを石川氏は明かす。「今回の経験をきっかけに、ウェブサイトを運用することは、企業の経営リスクでもあることを認識した。観光バス事業を運用する際に起こりうる交通事故やホテル業で直面する火災などと同等のリスクとして対処する」ことが求められたという。そのため、ウェブサイト停止期間の機会損失も重大な問題だが、問題への完全な対処が重要視され、短期間で確実に対応でき、かつ将来に渡ってしっかり運用が出来るソリューションを探したという。

クラウド型WAFの導入をはじめ対策を施して再開をしたウェブサイトのその後について、「WAFを導入してしばらくは日次でブロックログの確認を行い、WAFによるブロックの効果も確認していたが、だんだん見る回数が減り週次で確認するようになった」と千田主任は説明する。そして実際に「攻撃自体もWAFの導入直後は攻撃のログが毎日表示されていたが、サイトによっては日次4百件超来ていた攻撃が、導入後1ケ月後には数十件に減り、導入後3ケ月経つと日次1件も来ないまでに減少。攻撃もWAFにより止められたものしか検出できなくなった。」という。そのため、WAFのログの確認作業は週に一度で十分になった。

3. 新たなサイトのリリースと2020年オリンピックによる観光客増加を見据えた今後

はとバスでは2020年の外国人観光客4000万人時代を見据えて、準備を整えつつある。2018年度日本の外国人観光客が3000万人を超え、2020年には外国人観光客が大幅に増加する中、はとバスでは利用者の増加を受け付けられるようにし、ウェブサイトでの比率を大幅に増やすことを目指しており、当然、その目標の達成のためにはセキュリティのしっかりしたウェブサイトには大きな期待が寄せられている。そういった中、はとバスは、ウェブサイトのシステムを2016年の年始に刷新した。この変更により、ウェブサイトはデザインとCMSを一新し、使い勝手を改善した。ただ、セキュリティに関しては一貫してクラウド型WAFを導入することでウェブサイトのセキュリティを守っている。クラウド型で守ることの利点はシステム移行の時にも感じることができた。特にアプリケーションレイヤの攻撃方法やウェブサイトの作りに影響する脆弱性のような部分に関しては、すべてシグネチャの作成からチューニングなどの運用をすべて任せてしまえるクラウド型WAFに任せてしまえる。古いウェブサイトと新たなウェブサイトの両方に一時的にWAFを入れる際にも併用期間分のみを追加で支払うだけでよかった。システム移行を行う際にもセキュリティは常に施されていた。

また、バス自体のWIFI対応によって、バス利用時の通信環境の整備を含めて今後システムの更新を推進していくという。