クラウド型WAF 攻撃遮断くん 導入事例 
グローバルセキュリティエキスパート株式会社

事例一覧へ >>
image image
グローバルセキュリティエキスパートは、情報セキュリティ・サイバーセキュリティに特化したサイバーセキュリティ教育カンパニーです。セキュリティコンサルティング、脆弱性診断、サイバーセキュリティソリューションをはじめ、日本初のセキュリティ全体像を網羅した教育メニューをご提供しています。「教育」という観点を各事業の軸に据え、お客様へセキュリティへの気づきを与え、セキュリティ市場を活性化する事で、日本の情報セキュリティレベル向上に貢献します。

写真(左から):服部 康治様|タイガーチームサービス事業部 事業部長
青柳 史郎様|代表取締役社長
野口 良樹様|タイガーチームサービス事業部 副事業部長
鈴木 貴志様|執行役員 サイバーセキュリティ研究所 所長
以下敬称略
導入前の課題
  • 自社サービスの脆弱性診断と組み合わせて、堅牢性を高めるWebセキュリティを顧客に提案したい
  • 運用管理をアウトソースできるセキュリティ対策を顧客に提案したい
導入後の効果
  • 恒常的にWebセキュリティ対策ができるようになることでセキュリティレベルが飛躍的に向上する
  • クラウド型により運用負荷が軽減、効率的なWebセキュリティを実施できる

WAF導入/運用と脆弱性診断(タイガーチームサービス)を組み合わせて、互いに補完し合うことによって、堅牢性を高めるWebセキュリティとは

WAF導入/運用と脆弱性診断(タイガーチームサービス)を組み合わせるメリットをお聞かせいただけますでしょうか。

image
青柳:GSXでは、ハッカーと同様の技術を持つ専門エンジニア(ホワイトハッカー)がお客様のWebアプリケーションに疑似攻撃を行い、実害につながりうるアプリケーションの脆弱性を検出し、対策を含めてご指南する「タイガーチームサービス」という脆弱性診断サービスを行っています。脆弱性診断において、すべての診断対象に対してホワイトハッカーが手動オペレーションを実施し、高精度な脆弱性検出を追い求めることは理想であるものの、同時に膨大なコストが発生するため、多くの企業にとって現実的な解とはなり得ません。そこでWAF導入/運用と脆弱性診断を組み合わせ、互いに補完し合い、堅牢性を高めることでお客様課題になりがちなWebアプリケーションの脆弱性対策にお応えできないかと考えました。
お客様にとって優先すべき課題や対象を調査し、脆弱性とセキュリティインシデント発生の可能性や影響度などをしっかりと見極めた上で、お客様にとってより効果的で優先度の高い対策として、WAF導入/運用と脆弱性診断の組み合わせをご提案しています。それは、結果的にセキュリティ対策コストを抑えることにつながります。
言い換えると、お客様が定期的に実施する脆弱性診断だけでは、次々に日々発生する脆弱性に対応しきれないのが現実であり、恒常的にWebサーバを防御できるWAF導入も併せてご提案しています。お客様へWAF導入/運用と脆弱性診断の組み合わせ実施をご提案することで、Webセキュリティレベルを飛躍的に向上させることができると考えています。

お客様のWebセキュリティ運用を最優先に考える

何を契機にお客様にWAFをご提案するのですか?

青柳:昨今ではクラウド型でのご提案がお客様のマジョリティになりつつあります。「クラウドファースト」に代表されるように、今ではクラウド環境で自社サイトを運用しているお客様が多く、クラウド環境とシナジーのあるアーキテクチャが割と選択肢に挙げられ、採用されるお客様も少なくありません。
脆弱性診断を提供する会社として、親和性の高いクラウドWAFサービスの選定はいくつも検討を重ねてきました。クラウドWAFサービスにおいては脆弱性検知率の高さはもちろんですが、最も重要視すべきは誤検知の少なさとなります。検知スピードが速かったとしても誤検知があるとそれらを精査する作業をエンジニアが細かに確認する必要があり、とても効率的とは言えません。数あるクラウドWAFサービスを比較検証する中で、突出して誤検知が少なかったのが「攻撃遮断くん」でした。またクラウド型のメリットとして運用管理自体をお任せできる点は、お客様にとって大きなメリットになります。
image
鈴木:お客様にとって、すぐに、スモールスタートできることは非常に重要なファクターとなるので、DNSを切り替えるだけで導入できるようなクラウド型WAFが推奨されます。

その他推奨ポイントとして、導入のしやすさがあるかと思います。
お客様の課題として、導入するWebサイトの中には自部署を越えて管理しているサーバもあり、専用機器の設置やエージェントをインストールするとなると敷居が高く、導入が困難になるケースも予想されます。「攻撃遮断くん」は、DNSの切り替えやサーバへのアクセス制御だけで導入できるため、アプライアンス型などに比べると他部署との調整も比較的容易になると思われます。

「攻撃遮断くん」の推奨理由

お客様にとってのWAFの位置付けについて、どのような点を重視していますか?

image
服部:昨今、Webアプリケーションサービスの拡大とそれに伴い増加し続けるセキュリティインシデントを背景に、ますます脆弱性診断の需要は高まるばかりです。昨今では中規模なWebサイトであっても公開前や公開後の定期的な診断を実施するお客様が増加傾向にあります。その結果、診断ご依頼が集中する時期はセキュリティベンダーのリソースが枯渇し、診断時期が先延ばしになることも多く、診断サービスの機会損失やセキュリティリスクが放置されるという問題に直結しています。そんな問題に対峙でき補完できるのは、WAFなのです。

「攻撃遮断くん」はどのように評価いただけましたか?

鈴木:導入面、料金体系面、攻撃検知/防御数、管理画面UIを検証した上で、以下の結果となりました。

* 導入面
複数の導入方法(DNS切替型、エージェント連動型)を選択できるため、様々なWebサイトにサービスを止めることなく導入が可能です。

* 料金体系面
Webサイトの規模(使用帯域)に応じた複数の料金プランが存在するため、適切な料金プランを選択することが可能です。さらに、定額料金であるため、予算化しやすいことが評価できます。

* 攻撃検知/防御数
実際に複数種類の攻撃を実施した結果、他社製品と比べて遜色のない攻撃を検知かつ防御しました。

* 管理画面UI(下図参照)
日本語ユーザインタフェース、直感的UI、表示項目の扱いやすさ、管理のしやすさ(お客様にとっての運用負荷軽減に直結)等に関して評価すべき要素が多数見受けられます。
image

WAF導入/運用と脆弱性診断の組み合わせがWebセキュリティ向上に寄与する

GSXがお客様にご提案する攻撃遮断くんの導入効果はどんなところにあるのでしょうか?

鈴木:お客様自身がWAFを導入する場合、運用負荷軽減がなにより重視されます。その点で、GSXは攻撃遮断くんユーザーとしても、何より使いやすさを実感していますので、自信を持って推奨・提案しています。また、ユーザーであるからこそサービスノウハウ・知見も多く保持していますので、お客様にもホスピタリティの高いサポートを行うことができます。

Webセキュリティ重要性について、どのように考えられていますか?

image
野口:「JPCERT/CC インシデント報告対応レポート」ではその上位インシデントがWeb関連であり、「情報セキュリティ10大脅威 2019」の「個人」「組織」においてもWebサイトを利用した攻撃や被害が依然跡を絶ちません。「JVN iPedia(脆弱性対策情報データベース)」では重大なインシデントにつながりかねない脆弱性が日々発表され続けています。これら脅威への対峙策は、脆弱性(殊にWebセキュリティ)対策となります。
自社のWebサイトに脆弱性があったばかりに自ら被害者になるケースもあれば、マルウェア配布サイトに改ざんされて加害者になってしまうケースも頻発しています。脆弱性(殊にWebセキュリティ)対策を実施する上では、WAF導入/運用と脆弱性診断を組み合わせ、互いに補完し合い、堅牢性を高めることで実現できると考えています。

ありがとうございました

その他の導入事例をまとめ
てダウンロードできます。

その他のクラウド型WAF 導入事例 攻撃遮断くん導入事例

株式会社ファンコミュニケーションズ

株式会社ファンコミュニケーションズ

株式会社ファンコミュニケーションズ様は、国内最大級の 成功報酬型アドネットワークを提供する企業です。 アフィリエイトサービスのA8.netやMoba8.netをはじめ、 スマートフォン向けアド...続きを見る>>

ECのミカタ株式会社

ECのミカタ株式会社

ECのミカタ株式会社では、ネットショップ事業者向けのセミナー・Web媒体・紙媒体を運営しています。軸となるWEBメディア事業では、ニュース媒体をはじめ、ネットショップ運営を支援するビ...続きを見る>>

株式会社アールオーアイ

株式会社アールオーアイ

株式会社アールオーアイは、「ファンくる」「ぐるリザ」のサービスを展開しており、飲食店経営やオープン販促など、「食」に関するノウハウをもとに、多くの飲食店などの有店舗ビジネスか...続きを見る>>

全国信用金庫厚生年金基金

全国信用金庫厚生年金基金

全国信用金庫厚生年金基金(通称/信用金庫年金)は、全国の信用金庫業界で働く役職員の皆さんの退職後の暮らしを支えることを目的に設立・運営されています。

続きを見る>>
ギークス株式会社

ギークス株式会社

フリーランスの技術者と企業をつなぐマッチングサイト「geechs job(ギークスジョブ)」を運営するギークス様。 この事業の他にも、ソーシャルゲームや各種アプリの開発、映像・動画制作...続きを見る>>

株式会社八重洲出版

株式会社八重洲出版

東京・八丁堀にオフィスを構える八重洲出版様。 車や自転車・バイクの話題を中心に、数多くの雑誌やムックを発刊されています。

続きを見る>>
株式会社HDR

株式会社HDR

株式会社HDRは、アパレル製品の販売並びに輸出入を始め、太陽光発電事業、全国的なイベントの開催・運営など、様々な事業を展開しています。 導入事例のロゴにもなっているHDRの代表的な...続きを見る>>

株式会社ラネクシー

株式会社ラネクシー

株式会社ラネクシーが提供する「Ashiato通信」は、ICタグやFeliCaカードを使った保護者様への登下校状況通知や、出欠管理、一斉連絡メールを、子ども達を預かる学校、学童保育、学習塾、...続きを見る>>

株式会社エヌリンクス

株式会社エヌリンクス

学習塾探しの「塾予備校ナビ」、物件探しの「家AGENT」などのメディアを運営されているエヌリンクス様。 誰もが求める条件にぴったりの塾・予備校や住まいに出会える場を築いていらっしゃ...続きを見る>>

株式会社イオシス

株式会社イオシス

イオシス様はスマホ・携帯・パソコンの販売・買い取りサービスを行っております。 日本を代表する電気街の東京・秋葉原、大阪・日本橋、名古屋などに、合計で8つの実店舗を展開していま...続きを見る>>

株式会社タカラッシュ

株式会社タカラッシュ

実在の場所を舞台に、「リアル宝探し」イベントの企画運営を行うタカラッシュ様。 子供も大人も楽しめる宝探しは、町おこし・商品プロモーションだけでなく、社員研修や修学旅行のプログ...続きを見る>>

株式会社メトロコンピュータサービス

株式会社メトロコンピュータサービス

コンピュータトータルシステム、ソフトウェアの設計・開発・販売及びコンピュータ等各種情報機器の販売を行っている株式会社メトロコンピュータサービス。 書店トータルシステムの開発に...続きを見る>>

ペイレスイメージズ株式会社

ペイレスイメージズ株式会社

「ペイレスイメージズ」は、高品質写真・イラスト素材を低価格で販売しているストックフォトサービスです。 人物写真からイラストまですべてのカテゴリをカバーし、特に日本関連の写真は...続きを見る>>

株式会社ミルフィーユプラス

株式会社ミルフィーユプラス

株式会社ミルフィーユプラス様は「こんなアニメTシャツあったら良いのに!!」というファンの気持ちに応える、アニメTシャツ商品化支援サービス『ani-t(読み:アニティー)』を運営しており...続きを見る>>

事例集をダウンロードする

Webサイトをサイバー攻撃から
守るなら
攻撃遮断くん 攻撃遮断くん

ご利用お申し込み、お見積り依頼、
Webセキュリティに関する相談はこちらから!

資料をダウンロードする