「単なるシステムの提供だけでなく、これまでの常識にとらわれない形でお客様のニーズに合ったサービスを提供していきたい」という想いから、株式会社インタートレードより独立。2010年10月創業。「地域金融機関の証券事業の強化」「国内証券業の構造変化による業態転換」「グローバルマーケティング」への対応を推進する金融機関のサポートを展開。これまで培った証券・金融のさまざまな業務ノウハウに加え、クラウドファンディングやロボアドバイザーなど、新たな金融プラットフォーム構築のノウハウおよび実績を踏まえ、全く新しいアイデアを提案しながら金融機関のフィンテック事業を推進している。
写真:
リーダー 山崎 貴宏氏
写真:
リーダー 山崎 貴宏氏
導入前の課題
- 金融機関へパッケージやサービスを提供するベンダーとして、常にセキュリティ対策の高いハードルをクリアしていく必要がある
- 可能な限り社内リソースの消費を抑えセキュリティを担保する必要がある
導入後の効果
- 攻撃遮断くんが、脅威はもちろん不審なアクセスも可視化&ブロック
- WAFの運用はすべて攻撃遮断くんに任せて、自社のパッケージやサービスの提供に注力できる
クラウドファンディングのプラットフォームA's SEEDS、投信窓販・直販会社向け業務支援システムA’s MILIONなどのクラウドサービスとパッケージシステムを展開している株式会社エー・ソリューションズ。今回は同社のリーダー 山崎 貴宏氏に、攻撃遮断くんを導入した経緯と効果について詳しく伺いました。
金融のクラウドサービスに攻撃遮断くんを導入
攻撃遮断くんを導入したサービスの概要についてお聞かせください。
金融商品取引法と不動産特定共同事業法という2つの法律を満たしたクラウドファンディングのプラットフォームA's SEEDSと、投信窓販・直販会社向けフロントシステムとロボアドバイザー業務支援システムの機能を持つA’s MILIONを中心としたクラウドサービスに攻撃遮断くんを導入しました。
当社の強みは、これまで金融業界で培った知識やノウハウを、プラットフォームおよびパッケージシステムとして提供できることです。お客様が金融サービスを開始する際に、実際の業務を形にしていくコンサルティングからサポートまで、すべてシームレスに展開できるのが当社のサービスの大きな特長です。
当社の強みは、これまで金融業界で培った知識やノウハウを、プラットフォームおよびパッケージシステムとして提供できることです。お客様が金融サービスを開始する際に、実際の業務を形にしていくコンサルティングからサポートまで、すべてシームレスに展開できるのが当社のサービスの大きな特長です。
セキュリティ対策を拡張していくなかでWAFが必要
攻撃遮断くんの導入背景をお聞かせください。
金融機関は機密性の高い個人情報を扱っているため、どうしても脅威の標的にされやすい面があります。もちろん、個人情報の流出やデータの改ざんは絶対に許されません。さらに、監督官庁が設けているセキュリティのハードルをクリアしないと、金融サービス自体を提供することができません。
そうした状況を踏まえ、当社としてもファイアウォールをはじめ、IPS(Intrusion Prevention System)、IDS(Intrusion Detection System)、UTM(Unified Threat Management)などを導入し、常にセキュリティ対策を講じてきました。ただ、新たな脅威とともに新たなリスクが生じてくるので、セキュリティ対策に終わりはありません。そうしたリスクに備えセキュリティ対策を拡張していくなかで、WAFによる防御も必要となり、2021年に攻撃遮断くんを導入する運びとなりました。
そうした状況を踏まえ、当社としてもファイアウォールをはじめ、IPS(Intrusion Prevention System)、IDS(Intrusion Detection System)、UTM(Unified Threat Management)などを導入し、常にセキュリティ対策を講じてきました。ただ、新たな脅威とともに新たなリスクが生じてくるので、セキュリティ対策に終わりはありません。そうしたリスクに備えセキュリティ対策を拡張していくなかで、WAFによる防御も必要となり、2021年に攻撃遮断くんを導入する運びとなりました。
最小限の人的リソースで運用可能である点と安価なコストが選定ポイント
WAFの選定要件をお聞かせください。
Web検索などを通じて各社から資料を取り寄せ、5製品を比較・検討。最終的には以下2つの要件をもとに、2製品をピックアップしました。
<社内リソースの活用を最小限にしながら運用できる>
当社は、サービス検討、コンサルティング、要件定義、製品開発、インフラ構築、サポートまでそのほとんどを内製で行っています。とはいえ、大きな会社ではありませんから、リソースは限られています。そのような背景から、できるだけリソースを消費せずにWAFを運用できるかがポイントでした。逆に言えば、リソースを多く消費するWAFは対象外としました。
<安価なコスト>
WAFは継続的に運用していくわけですから、イニシャルコストもランニングコストも大事であり、コストパフォーマンスの良い製品であることも大きなポイントでした。
<社内リソースの活用を最小限にしながら運用できる>
当社は、サービス検討、コンサルティング、要件定義、製品開発、インフラ構築、サポートまでそのほとんどを内製で行っています。とはいえ、大きな会社ではありませんから、リソースは限られています。そのような背景から、できるだけリソースを消費せずにWAFを運用できるかがポイントでした。逆に言えば、リソースを多く消費するWAFは対象外としました。
<安価なコスト>
WAFは継続的に運用していくわけですから、イニシャルコストもランニングコストも大事であり、コストパフォーマンスの良い製品であることも大きなポイントでした。
既存のシステムに手を加えずに導入できる
攻撃遮断くんを選定した理由をお聞かせください。
前述した2つの要件に加え、WAFを導入するにあたって既存のシステムに手を加えるのはリスクをともなうため、“導入のしやすさ”を評価して攻撃遮断くんを選定しました。攻撃遮断くんにはさまざまなプランがあり、なかでもサーバーに入れる必要がなく、DNSを切り替えるだけで利用できるDDoSセキュリティタイプに大きな魅力を感じました。さらに、日本製のWAFという点にも、大きな安心感がありました。
攻撃遮断くん導入にあたって、Web改ざん検知オプションを付加した理由をお聞かせください。
当社サービスを利用されている金融機関のお客様からセキュリティに関する問い合わせがあった際、すぐに答えられる必要があります。金融機関は常にセキュリティ状況を把握しておかなければならないため、Web改ざん検知オプションのチェック結果と詳細表示が可能なレポート作成機能を利用することを考えました。
攻撃遮断くん導入の進捗状況をお聞かせください。
本番稼働までには1カ月ほどの時間を要しましたが、設定や稼働までに必要な工数は数日程度。現在、大きなトラブルはなく安定稼働しています。
想像の10倍を超えていた不審なアクセスをブロック
攻撃遮断くんの評価をお聞かせください。
攻撃遮断くんを導入して分かったのは、こちらの想像以上に不審なアクセスが多いということ。その数は想像の10倍を超えていました。あらためて、それらをすべて可視化しブロックしてくれる攻撃遮断くんを導入して良かったと思っています。しっかりガードされている安心感というのは、何にも代えがたいものがあります。
一番の懸念だったパフォーマンスについても問題ありません。まったく低下することなく、攻撃遮断くん導入前と変わらないアクセスが保たれています。稼働当初は多少の誤検知もありましたが、ホワイトリストの対応ですぐに解決しました。何度かサポートに問い合わせをしましたが、常にスピーディーかつスムーズに対応いただきました。海外製品にありがちなサポートとの意思疎通の難しさやレスポンスの悪さは一切ありません。日本製という点を加味して攻撃遮断くんを導入した面もありますから、この選択は正解だったと思います。
一番の懸念だったパフォーマンスについても問題ありません。まったく低下することなく、攻撃遮断くん導入前と変わらないアクセスが保たれています。稼働当初は多少の誤検知もありましたが、ホワイトリストの対応ですぐに解決しました。何度かサポートに問い合わせをしましたが、常にスピーディーかつスムーズに対応いただきました。海外製品にありがちなサポートとの意思疎通の難しさやレスポンスの悪さは一切ありません。日本製という点を加味して攻撃遮断くんを導入した面もありますから、この選択は正解だったと思います。
最後に、セキュリティ対策における今後の展開をお願いします。
エンドポイントセキュリティやゼロトラストなど、毎日のように新たな脅威が生まれそれらに対するセキュリティ対策が更新されています。当社はそれらの状況も注視しながら、提供するサービスのセキュリティと、その先にいる金融機関のお客様を守っていきたいと考えています。
