攻撃遮断くんの導入背景をお聞かせください。
当社は2021年7月、東京証券取引所マザーズ市場に上場させていただきました。上場に向けて準備を進めていた2019年頃に、セキュリティ水準の引き上げに向けた施策を社内で検討するなかでWAFの導入が候補として挙がりました。
もちろん、上場という背景を別にしても、当社はセキュリティ対策の重要性を認識し、それまでにも対策を進めていました。例えば万一システムがダウンした場合にはお客様にご迷惑をお掛けする恐れがあるため、システムダウン時の復旧手順書を整備するなど、「どういうリスクが考えられるか、そのリスクを抑えるためにはどういう施策が必要か」といった議論を外部のベンダーを交えながら日常的に行っていました。
ただ、セキュリティ対策に明確な基準やゴールがあるわけではなく、上場にあたっても「〇〇の導入が必須」といった要件があるわけでもありません。証券会社や監査法人などの専門家に伺っても明確な答えはありませんでしたが、想定されるリスクへの対策は予め行っておくべきという肌感覚がありました。
今でこそマーケティング部門のエンジニアチームがセキュリティを含めてシステムの運用をコントロールしていますが、2019年当時は基本的に外注業者を活用していたため、社内にそうしたリソースはほぼありませんでした。外部のセキュリティコンサルタントに相談をしたこともありますが、「まずはセキュリティ診断を実施し、何が足りないかを分析したうえで必要な対策を講じていきましょう」とのことで、具体的にどういったサービスを提供してもらえるか分からずゴールが見えづらかったため、あらためて自社でできることを模索しました。
手間・コスト等の負担がそこまで大きくなく、明確な効果がありそうなセキュリティサービスがないかと自分たちで模索を続けていたところ、ウェブサービスやSaaSを提供する大手企業が数多く導入しているWAFの存在に注目しました。クラウド型のWAFであれば、比較的スムーズに導入できると考え、本格的にWAFの比較・検討を行うことにしました。
WAFの比較・検討についてお聞かせください。
インターネット検索で、攻撃遮断くんを含めて3社の製品をピックアップしました。重視した要件はコストと導入実績の2つです。ピックアップした3社とはアポイントを取り、製品説明を受けて見積りまでいただきました。
攻撃遮断くんを選定した理由をお聞かせください。
要件であるコストと導入実績のいずれも優れていたことから、導入を決定しました。イニシャルを含め、年間のトータルコストで比較した場合、もっとも低コストで運用できるのは攻撃遮断くんでした。導入実績についても、攻撃遮断くんは著名な大手企業の導入実績が豊富だったため、サービスとして信頼できると考えました。
導入プランと導入の進捗をお聞かせください。
サイトに手を加えたくなかったことと、サイトごとにドメインが異なっていたため、DDoSセキュリティタイプの入れ放題プランを選択しました。外部のベンダーにお願いしてセットアップを支援していただいて、2019年から運用しています。
攻撃遮断くんの導入効果をお聞かせください。
どういった攻撃がどれだけあるか、可視化できたのは大きな安心感があります。セキュリティ対策を人に説明しやすいという点でも効果があったと思っています。今のところ大きなトラブルもなく、順調に運用することができています。イメージ的には保険のように捉えており、万が一のリスクへの備えという意味で心強く感じています。
導入後、プランの帯域を200Mbpsにアップしていますが、その理由をお聞かせください。
100Mbpsプランのときは、すべてのサイトを登録しているわけではありませんでした。全サイトを対象とする方向で考え始めたとき、帯域しきい値超過アラートのメールを受信していたため、より安全に運用する為に200Mbpsまで帯域をアップした次第です。
サポートについての評価もお願いします。
SSL証明書の登録やアクセス増によるサーバーの動きなど、いくつかの事案で問い合わせた際のレスポンスは非常にスピーディーで、的確な答えがいただけました。良いサポート体制が構築されていると実感しています。エンジニアチームもセキュリティ対策だけに手を取られるわけにはいきませんから、細かい設定が不要という点でも助かっています。
攻撃遮断くん導入の先行ユーザーとして、上場を目指す企業に向けたアドバイスがあればお願いします。
上場審査に携わる関係者は数多くの企業を見てきており、リスクに対して鋭い視点を持っていると感じています。主幹事証券会社や監査法人から何も言われていなかったとしても、自分自身がリスクと感じるポイントがあれば、迷わず対策を行うべきだと思います。とくに我々のようにインターネットでサービスを提供する企業であれば、システムや情報を守るセキュリティ対策は必須です。当社にとってその一つがWAFであり、攻撃遮断くんでした。WAFの導入を検討するなら、攻撃遮断くんを候補のひとつに加えることをおすすめします。
最後に、現在のセキュリティ対策と今後のセキュリティ対策についてお聞かせください。
セキュリティは総力戦だと思っています。現在のセキュリティ対策はWAFだけでなく、万が一サーバーがダウンしてもサービスを継続できるよう、当社もサーバーの冗長化や自動バックアップなどを導入済みです。モバイルデバイスの管理ツールも導入しており、個人情報を扱う部門ではPCの操作ログも管理することで、データの持ち出しにも厳重な規制をかけています。さらに、クラウドストレージサービスへのアップロード禁止やUSBの認識不可など、さまざまなセキュリティ対策を行っています。
今後については、リモートワークも取り入れた働き方が当たり前となった時勢を考慮し、エンドポイントやゼロトラストといったセキュリティ対策も検討しています。引き続きセキュリティの時流を鑑みながら、アップデートを図っていくつもりです。
ありがとうございました。