クラウド型WAF 導入事例 -
株式会社はとバス

株式会社はとバス

株式会社はとバス(以下、はとバス)は、都内遊覧バスをはじめバス旅行をウェブサイトで販売・情報発信をおこなっている。旅行を計画しているお客様がウェブサイトをみることで楽しくなるようなウェブサイトを心がけ、24 時間365 日いつでも世界中のお客様にウェブ環境を提供することに力を入れてきた。しかし、ウェブサイトの脆弱性を狙った攻撃を受けたことで、売り上げを生むウェブサイトの運用自体も経営リスクに成り得ることを実感し、クラウド型WAF の導入を判断した。

クラウド型セキュリティ対策の利用により1週間でのWAFとウイルス対策導入を実現

はとバスでは、1949年より東京名所観光で有名な「はとバス」を運用しており、バス旅行の企画、販売をおこなっている。その販売、広報に占めるウェブの重要性は増しており、総予約数の30%強がウェブサイトを経由した申込みであるため、常にウェブサイトは止めない運用を行ってきた。その止めない運用を行うためにウェブサイトの運用とファイアウォールなどのセキュリティ対策は協力会社に任せていた。しかし、当時想定をしていなかったウェブアプリケーションを狙ったSQLインジェクション攻撃を受けたことで、ウェブサイトの改ざんが行われ閲覧者がウイルスに感染するように仕込まれた結果、ウェブサイトを閉鎖しないといけない状態に追い込まれた。

経営本部総合企画調整部の石川祐成部長は「とにかくスピーディに再開を目指しつつ、しかしきちんと対策を完了させることをターゲットに、ベストの解決方法を模索した。」と語る。当時、システムの入れ替えを目前にしていたこともあり、ウェブシステムには追加で他のセキュリティソリューションを加えるリソースは残っておらず、サーバの購入も検討したが、サーバの購入から導入、設定を考えると1ヶ月は掛かってしまう。そこで見つけたのがシマンテック クラウド型WAFであった。

対策に有効なソリューション候補として挙がってから、「すぐにトライアル環境も提供され、実際の導入に至るまで約7日間で行われた。」と同総合企画調整部 情報システム課の千田友也主任は振り返る。さらにセキュリティ強化を図るためシマンテックのクラウド型エンドポイントセキュリティ「Symantec Endpoint Protection Small Business Edition 2013」をサーバに導入。これによりサーバ側でもウイルスやマルウェアに対しての保護を実現。シマンテック クラウド型WAF 同様、クラウド型で管理サーバが不要なため管理の手間がかからないことが導入の決めてとなった。また、アプリケーションの修正やパッチ当ても行い、季節の商品コンテンツへの更新という作業も含めて17日間というスピードでウェブサイトの再開にこぎつけた。

交通事故や火災と同等の経営リスク

今回の迅速なサービスの導入判断の背景に、会社としての経営判断があったことを石川氏は明かす。「今回の経験をきっかけに、ウェブサイトを運用することは、企業の経営リスクでもあることを認識した。観光バス事業を運用する際に起こりうる交通事故やホテル業で直面する火災などと同等のリスクとして対処する」ことが求められたという。そのため、ウェブサイト停止期間の機会損失も重大な問題だが、問題への完全な対処が重要視され、短期間で確実に対応できる、かつ将来に渡ってしっかり運用が出来るソリューションを探したという。特にアプリケーションレイヤの攻撃方法やウェブサイトの作りの方のような専門的な部分に関しては、すべてシグネチャの作成からチューニングなどの運用をすべて任せてしまえるクラウド型WAFに期待をしている。

シマンテック クラウド型WAFの導入をはじめ対策を施して再開をしたウェブサイトのその後について、「WAFを導入してしばらくは日次でブロックログの確認を行い、WAFによるブロックの効果も確認していたが、だんだん見る回数が減り週次で確認するようになった」と千田主任は説明する。そして実際に「攻撃自体もWAFの導入直後は攻撃のログが毎日表示されていたが、サイトによっては日次4 百件超来ていた攻撃が、導入後1ケ月後には数十件に減り、導入後3ケ月以上経った今では日次1件も来ないまでに来なくなった上、攻撃もWAFにより止められたものしか検出できなくなった。」という。そのため、WAFのログの確認作業は現在では週に一度確認すれば十分になった。

2020年の外国人観光客倍増を見据えた今後

はとバスでは2020年の外国人観光客2000万人時代を見据えて、準備を整えつつある。2013 年度日本の外国人観光客が1000万人を超えたと言われる中、はとバスの利用者は約6万人を達成したが、2020年には外国人観光客が倍増する中、はとバスでは20万人の利用者を受け付けられるようにし、ウェブサイトでの比率を40~50%まで増やすことを目指しており、当然、その目標の達成のためにはセキュリティのしっかりしたウェブサイトには大きな期待が寄せられている。また、バス自体のWIFI対応によって、バス利用時の通信環境の整備を含めて今後システムの更新を推進していくという。