今回は少し趣を変えて、様々なリスク対策に関する「一般論」ではなく、「実体験や実態にフォーカス」した記事をリリースしたいと考えました。
そこで今回は弊社の展開するASPサービスにWAF(Webアプリケーションファイアウォール)を導入したことに関して、弊社技術開発グループ責任者のS課長にインタビューした内容を掲載いたします。
技術者や運用担当者の視点ならではのWAF導入の裏側が知れるかもしれません!
サービス選定では何が大変だったのか
--インタビュア--
S課長に色々話を伺ってみましょう。よろしくお願いします。
まずは当社WAFサービス導入の経緯を教えて貰えますか?
WAFを導入したのは大量のメールを高速配信するASPサービスですが、どのような理由で導入の必要性が生じたのでしょうか?
--S課長--
背景として、顧客がアクセスすることになるフロントサーバのOSサポートが終了するという問題がありました。
そんな中、次期システムの開発にも遅れが生じており、リリースを1年延期するということが決まったのですが、その際に上層部よりセキュリティ対策強化の指示が出されたことがきっかけでした。
--インタビュア--
WAFサービスも複数ありますが、選定候補はいくつぐらいあったのでしょう?サービス選定で大変だったことはどんなことですか?
また、選定の決め手になったのはどのようなことでしたか?
--S課長--
最終的には3社から選定しました。他にもネットを駆使して色々と調べましたけど、ピンとくるものは正直あまりなかったです。
個人的には導入実績やWeb上での評価を重視していましたが、社内的には稟議起案の前段階で色々な検討・調整事項がありました。
例えば、今の社内体制を考慮して運用面で問題ないかどうか。
また、WAFサービスの仕様が当社システムに適用可能かどうかや、どのオプション機能を申し込む必要があるのかを判断するために、当社システムの仕様を詳細に確認する必要がありました。
特に、当社システムは構成自体が少し特殊だったり、古いブラウザやガラケーへの対応が必要といった事情もあったので、このあたりの事前確認・調整には時間がかかりました。
他システムでも、多段プロキシだったり、他システムとの連携があったり、古いものを切り捨てずに適応させないケースでは、WAF導入は注意が必要だと思います。
最終的にはサービス選定に3~4ヶ月要し、サイバーセキュリティクラウド社のWAFサービスを選定しました。
サービス導入とその運用は?
--インタビュア--
サービス選定を終え、社内の稟議処理などは特に問題なかったですか?
--S課長--
上層部への説明はすんなり通りました。しかし、その前段階の調整が大変でした。
--インタビュア--
社内承認を得たのち、具体的な導入に向けた調整は特にトラブルなく進みましたか?概ね導入前に想定したとおりでしたか?
--S課長--
流れ自体は想定通りでしたが、トラブルもありました。
最初の導入でもトラブルが起きて切り戻しを行っています。
顧客側のシステムと連携した機能において、顧客側のシステムが古くてWAFの仕様と合わず、連携が上手くいかなくなるというといったトラブルが発生しました。
その他、IPアドレスによるアクセス制限など、色々と問題が発生しましたが、それらを1個1個、当社のシステム側の対応や、WAFルールの調整によって対応していった感じです。
対応には3ヶ月程度かかり、当初の導入完了予定よりも少し遅れることになりました。
--インタビュア--
導入完了したあとの当社側の運用の手間はどうでしょう?
--S課長--
導入直後はシグネチャの調整などの対応が必要となりましたが、それ以後は正直あまり手間がかかっていないです。
基本的には何かしらの問題が発生したときのポリシーやシグネチャの調整がメインになりますが、そのような問題も殆ど発生していないです。
また、WAFサービスのメンテナンス停止も思っていたよりずっと少ないと感じています。
WAF導入の効果や今後の課題は!?
--インタビュア--
WAF導入の効果を実感することって何かあったりするのでしょうか?
--S課長--
正直あまり実感するようなことはないんですが、色々攻撃が来ていてブロックしたという通知を見れますね。
各種脆弱性が発見された際に、もしWAFを導入していなかったら対応しないといけなかったことが沢山あったかもしれないです。
また、マネージド型でWAF運用をお任せできるサイバーセキュリティクラウド社のサービスを導入したことは良かったです。
他社事例でApacheのモジュールを使ったWAF対応をしている事例を知っていますが、結構ルールに引っかかったりしていて、自前の運用は大変そうだなと思うので。
--インタビュア--
WAF導入や運用について、今後の課題などありますか?
--S課長--
他の顧客向けサービスにも横展開できたらいいと思います。
提供しているサービスの重要度にもよりますが、エンドユーザに提供しているサービス基盤なら、必須だとも思います。
導入の時だけは多少手間ですが、運用開始後は手間がかからず楽になり、セキュリティも確保担保できるのでメリットが大きいです。
WAFレポートの傾向などを見て、顧客への改善アドバイスや提案に繋げられればいいが、なかなか難しいのが実情です。
また、セキュリティ対策は基本的に多段で考えるものであり、WAFがあれば安全というものでもないと考えているので、WAF導入済みであっても全体を俯瞰して、セキュリティの不備がないかを考えるようにすべきだと思います。
--インタビュア--
最後に、WAF選定と導入について何かコメントありますか?
--S課長--
導入してみるまではこれまで導入していたサーバ用セキュリティ製品と仕組みが全然違うこともあり、心理的なハードルも高かったですが、導入してみると、マネージド型のサービスは運用も楽でいいなと思いました。
導入時には色々とトラブルもありましたが、解決できないものではありませんでした。
--インタビュア--
ありがとうございました!
WAFの選定と導入、運用について、実体験に基づいた貴重なお話を伺えました!