クラウド型WAF 導入事例 -
一般社団法人 東京技能者協会

一般社団法人 東京技能者協会

一般社団法人東京技能者協会(以下「TSA」)は、労働安全衛生法59 条と60 条に基づいて、事業所における自主的な労働災害防止活動を通じ、安全衛生の向上と労働災害の防止活動の推進の向上に寄与することを目的として設立された協会です。
安全衛生教育、安全衛生管理、労務管理、経営管理に関する各種講習会の開催をしています。TSA の講習会は財閥系列の大企業から中小企業、個人まで幅広い顧客が対象になっています。また最近ではオリンピックに伴う建設ラッシュの影響で建設関連企業、外国人労働者など対象が拡大しています。

TSA では安全教育の申込受付けをウェブで行っており、その申し込み用ウェブサイトからの個人情報漏えいを防ぐために、シマンテック クラウド型WAF を導入しました。
その理由は、クラウド型WAF のシマンテックの品質への信頼とコスト面での優位性でした。

近年の攻撃手法に対応しウェブアプリケーションの防御に優れたWAF の導入

東京技能者協会 専務理事・事務局長 永野紀計氏

TSA ではこれまでプライバシーマーク(以後「P マーク」)を2 年毎にこれまで5回更新しています。以前はセキュリティ対策としてUTM を導入することで対策を行いましたが、最後の更新時に、SQL インジェクション、クロスサイトスクリプティングなど脆弱性攻撃への対策をしているかどうかの確認を受けました。P マーク更新のたびにセキュリティに関する指摘事項が増加しており、社会的にもアプリケーションに対する複雑化した攻撃が増えているという背景もあったため、TSA には「いずれUTMだけでは耐えられなくなるのでは」という危機感がありました。そのためシステムの更新のタイミングで、アプリケーションを改修するよりも低コストで、アプリケーションへのより複雑な攻撃にも対応できるWAF の検討を行いました。

導入・運用コストが低いクラウド型WAFが待ち望んでいたソリューション

TSA のウェブサイトはお金を取り扱っていないものの、個人情報を多数扱っているので、情報漏えいリスクがありました。
情報漏えいのニュースが多発している昨今、漏えいしてからでは遅いので、攻撃をブロックし、個人情報を守るのが急務でした。TSA ではシステムの構築・運用をリコージャパンに委託していましたが、リコージャパンとしても実績があり、信頼性が高く、導入・運用コストも抑えられるシマンテック クラウド型WAF を推奨したこともあり、導入の検討を本格化しました。

シマンテック クラウド型WAF は、WAF センターの方でシグネチャーが全て運営されているので、運営に手間が掛からずに済みます。ハードウェアや運用の負荷を増やしたくないという意図もあり、サービスとして利用できるクラウド型WAF を選択することになりました。

「シマンテック クラウド型WAF はコスト面でも大変優れたサービスだと思います。またシマンテックの製品は昔から利用していて、広く使われていることから来る、サービス品質に対する信頼があったため、シマンテック クラウド型WAFを選択しました。」と専務理事・事務局長 永野紀計氏は語ってくれました。

シマンテック クラウド型WAF
シマンテック クラウド型WAFは、ウェブサーバとウェブサイトユーザの間に設置し、一般利用者に紛れてアクセスしてくる攻撃者を防ぐ役割をします。普及が進んだネットワークファイアウォールとは異なり、HTTP ・HTTPSで表示されるウェブサイトが抱える脆弱性に対する攻撃を無害化し、ホームページの改ざんや個人情報漏洩等のリスクを軽減することができます

※:シマンテック クラウド型WAF

事業の全国展開とシマンテックへの期待

シマンテック クラウド型WAFの導入をはじめ対策を施して再開をしたウェブサイトのその後について、「WAFを導入してしばらくは日次でブロックログの確認を行い、WAFによるブロックの効果も確認していたが、だんだん見る回数が減り週次で確認するようになった」と千田主任は説明する。そして実際に「攻撃自体もWAFの導入直後は攻撃のログが毎日表示されていたが、サイトによっては日次4 百件超来ていた攻撃が、導入後1ケ月後には数十件に減り、導入後3ケ月以上経った今では日次1件も来ないまでに来なくなった上、攻撃もWAFにより止められたものしか検出できなくなった。」という。そのため、WAFのログの確認作業は現在では週に一度確認すれば十分になった。

現在のTSA の事業は東京と関東圏に留まっています。TSAは、近い将来に日本全国で教育サービスを展開することを検討しています。全国に事業を展開していくためには、集客や運営など、地方をウェブで補うことが、必須の戦略となってきます。TSA の教育サービスに対して、現在は個人のお客様はウェブからの申し込みがほとんどですが、法人はまだFAXでの申し込みが多くあります。しかし、ウェブに全て置き換えて行くのが時代に適った戦略とTSA は考えています。

「TSA はIT・セキュリティ投資に常に前向きです。組織として、セキュリティ対策は後からやったら遅いというマインドを持っています。TSA で教育サービスに申し込んでいただければ、個人情報の漏えいがないので、安心して受講することができます。シマンテックにはこれからもセキュリティに関するノウハウをどんどん提供してほしいと思っています。」と最後に永野氏は語ってくれました。