

- 金融機関の脅威になっているDDoS攻撃を防ぐ手立てを探していた
- セキュリティ対策のコストとリソースは適正なバジェットで運用したい
- 不審なアクセスからDDoS攻撃まで攻撃遮断くんがしっかりガード
- 適正なコスト、最小限の負担でWAFを運用・保守できる
2017年に発生した金融機関を対象にした脅迫型DDoS攻撃で危機感が高まる
攻撃遮断くんの導入背景をお聞かせください。
そのセキュリティ対策の緊急性が一気に高まったのは、2017年6月に発生した国内外の金融機関が対象の脅迫型DDoS攻撃を契機として早急なセキュリティ対策が必要だとあらためて実感しました。そこで、セキュリティ対策の要件をまとめて、当社のWebサーバーの管理・保守を担当しているベンダーなど複数のベンダーに製品選定を依頼しました。
求めたのは適正コストで負担なく運用できるWAF
WAFに求めた要件を教えてください。
<DDoS攻撃の遮断>
金融機関を襲ったDDoS攻撃は我々とって大きな脅威でした。こうしたDDoS攻撃の対象になったとしても、確実に遮断できる万全のセキュリティを求めました。
<適正コストでの運用・保守>
セキュリティ対策において潤沢な予算があるわけではありません。限られた予算のなか、適正のコストで運用・保守できるWAFを求めました。
<最小限の負担で継続的に運用・保守できる>
我々のシステム企画部はいわゆる情報システム部にあたる部門ですが、IT企業のようなリテラシーを有しているわけではありません。さらにセキュリティとなるとリソースも限られてきます。そういった状況ですから、必然的に最小限の負担で継続的に運用・保守できるWAFが選択肢でした。
要件を満たし導入も手軽な攻撃遮断くんを選定
攻撃遮断くんを選定した理由をお聞かせください。
攻撃遮断くんの仕様を精査してみると、DDoSセキュリティタイプならDDoS攻撃対策機能が搭載されており、要件に挙げた「DDoS攻撃の遮断」が期待できます。しかも、安価で利用できるサブスクリプションのため「適正コストでの運用・保守」も満たしています。さらに、運用する際はDNSを切り替えるだけという手軽さ。シグネチャの作成や運用に関する作業はサイバーセキュリティクラウド側が行ってくれるということで「最小限の負担で継続的に運用・保守できる」も当てはまっています。
ベンダーを介さない自社運用になりますが、すべての要件を満たしていることを評価し、2018年4月に攻撃遮断くんを導入しました。
サイバー攻撃の可視化と説明できる安心感がある
攻撃遮断くんの導入効果をお聞かせください。
今のところ、大きなDDoS攻撃はありませんが、不審なアクセスに関しては多少あります。もちろん、こうした不審なアクセスは攻撃遮断くんが検知し、適切に遮断してくれるので安心です。ほか、攻撃遮断くんの導入により以下のような効果を得ることができました。
<攻撃内容を可視化できる安心感>
現在、コーポレートサイトが問題なく表示できているのは「攻撃を受けていない」からなのか、「攻撃を受けているけど遮断できている」からなのか、管理画面で確認できます。攻撃遮断くんを導入して良かったのは、こうした可視化の安心感だと思っています。
<経営層へ説明できる>
前述したように、不審なアクセスやサイバー攻撃は、攻撃元IPや攻撃種別なども可視化して管理画面で確認できますから、経営層から問い合わせがあっても説明に困窮することなく、エビデンスに基づいた理論的な説明ができます。
<すべて攻撃遮断くん任せ&24時間365日対応サポート>
我々がタッチする作業はほとんどありません。すべて攻撃遮断くん任せで運用できます。先ほどのレポートに関しても管理画面から出力するだけですから、運用の負担がありません。
また、サイバー攻撃は、いつ何時やってくるか分かりません。ですから、24時間365日対応サポートがあることは大きな安心感になっています。
<すべて日本語で使いやすい>
攻撃遮断くんは日本製ということで、管理画面を参照すればだいたいのことは把握できます。マニュアルも整備されているため、サポートを利用する場面がほとんどありません。
顧客情報サイトにも攻撃遮断くんを導入予定
セキュリティ対策における今後の展開を教えてください。
また、2021年3月に日本証券業協会が「インターネット取引における 不正アクセス等防止に向けたガイドライン」を制定しました。当社はオンライントレードを行っていませんが、このガイドラインに準拠したセキュリティ対策は必要だと考えています。まずはガイドラインを精査したうえ、適切なセキュリティ対策を講じていきたいと思っています。