清水建設株式会社は、1804年創業の日本を代表する大手総合建設会社です。建設事業、開発事業を主な事業とし、さらに各事業に付帯関連する建設資機材の販売及びリース、金融等の事業活動を展開しています。建設プロジェクトの全段階でお客様にとっての最善を提案し、実現しています。
写真:
情報システム部 システム運営グループ
グループ長 市橋 章宏(左)
井上 悠 (右)
写真:
情報システム部 システム運営グループ
グループ長 市橋 章宏(左)
井上 悠 (右)
導入前の課題
- 清水建設が運用するWebサイトのセキュリティレベル統一
- 開発を外部委託しているシステムの安全性確保
- セキュリティ診断では対策として不十分な脆弱性への迅速な対応
導入後の効果
- DNSの切り替えやサーバへのアクセス制御によるWebサイトのセキュリティレベル統一
- WAFを導入したサーバのセキュリティ評価が向上
- 契約帯域内での可用性の高さによる、予算管理工数の削減
清水建設株式会社(以下、清水建設)は日本を代表する建設会社です。高層ビル、商業施設、交通インフラやダムなど、あらゆるものの建設に携わり、国内だけでなく海外へと活躍のフィールドを広げています。2018年からは「深海未来都市構想(OCEAN SPIRAL)」や「環境アイランド(GREEN FLOAT)」といった近未来的な事業「シミズドリーム」が動き始めます。
海外でも活躍する清水建設では、Webサイトなど約60サイトへクラウド型WAF「攻撃遮断くん」を導入しています。
今回「攻撃遮断くん」の導入にあたり、丸紅情報システムズ株式会社(以下、丸紅情報システムズ)、JIG-SAW株式会社(以下、JIG-SAW、株式会社サイバーセキュリティクラウド(以下、サイバーセキュリティクラウド)が清水建設の「攻撃遮断くん」導入をサポートしました。
清水建設がクラウド型WAF「攻撃遮断くん」の導入に至った経緯、そして製品選定のポイントやWebセキュリティに対する考え方について伺いました。
海外でも活躍する清水建設では、Webサイトなど約60サイトへクラウド型WAF「攻撃遮断くん」を導入しています。
今回「攻撃遮断くん」の導入にあたり、丸紅情報システムズ株式会社(以下、丸紅情報システムズ)、JIG-SAW株式会社(以下、JIG-SAW、株式会社サイバーセキュリティクラウド(以下、サイバーセキュリティクラウド)が清水建設の「攻撃遮断くん」導入をサポートしました。
清水建設がクラウド型WAF「攻撃遮断くん」の導入に至った経緯、そして製品選定のポイントやWebセキュリティに対する考え方について伺いました。
全社のセキュリティレベル統一に向けた新しい施策
WAF導入の経緯についてお聞かせいただけますでしょうか。
市橋:当社の情報システム部は社内向けのシステムや、外部に公開しているWebサイトなど清水建設の全システムを管理しています。例えば、分譲マンションをお客様に販売するWebサイトなどは、情報システム部以外の所管部署が直接発注し管理していたものもあります。自社開発から制作会社が開発しているシステムまで大小数十種類のサーバ全ての安全を確保する必要がありました。
一から情報システム部で設計・構築したサーバは、一般公開前にセキュリティ診断やネットワーク診断を実施し、安全を確保しておりますが、それ以外のサーバでは、セキュリティ診断が実施されていないものもあります。当社管理の全てのサーバに対するセキュリティ対策が不可欠なため、2年前から全システムに対して毎年セキュリティ診断を実施する規定を定めました。そして、セキュリティ強化の次なる一手として検討したのがWAFです。
毎年実施するセキュリティ診断への対策だけでは、次々に発生する脆弱性に対応しきれないと考えていました。そのため、恒常的にサーバを防御できるWAF導入を検討することしました。全社共通のWAFを導入することで、セキュリティレベルを統一することが目的です。
一から情報システム部で設計・構築したサーバは、一般公開前にセキュリティ診断やネットワーク診断を実施し、安全を確保しておりますが、それ以外のサーバでは、セキュリティ診断が実施されていないものもあります。当社管理の全てのサーバに対するセキュリティ対策が不可欠なため、2年前から全システムに対して毎年セキュリティ診断を実施する規定を定めました。そして、セキュリティ強化の次なる一手として検討したのがWAFです。
毎年実施するセキュリティ診断への対策だけでは、次々に発生する脆弱性に対応しきれないと考えていました。そのため、恒常的にサーバを防御できるWAF導入を検討することしました。全社共通のWAFを導入することで、セキュリティレベルを統一することが目的です。
重要なのは運用管理を専門家に任せられること
どのような種類のWAFを検討していましたか?
市橋:クラウド型であることが第一条件でした。
当社にはクラウドありきの方針というわけではなく、当社で「実施したいこと」「目指したいこと」をもとに要件定義し、実現する手段としてクラウドやオンプレなどを対策案を検討してきました。
サイバー攻撃に対しては、アプライアンス型WAFで全ての攻撃に対応するのは難しいと考えています。攻撃検知があった際に「この検知は対処すべきか、もしくは誤検知か」「この後どのようなアクションをとれば良いか」といった対応が必要となりますが、次々に攻撃が来る状況下では、全ての攻撃に対応しきれません。巧妙化しているサイバー攻撃に対して、我々も成長しなくてはいけませんが、一朝一夕にはできません。クラウド型WAFのように専門家へ運用管理を任せられることは、ユーザー企業にとっては大きなメリットになります。
井上:WAFの運用管理をセキュリティの専門家に任せ、その上で、自社で対応しなければならない範囲を対応する。アプライアンス型のように全て自社で対応するよりも、クラウド型のほうが効率的なセキュリティ対策の実施が可能だと考えています。
市橋:今回は「スモールスタート」「ファーストスタート」ができることが重要でしたので、DNSを切り替えるだけで導入できるクラウド型WAFに最初から絞っていました。
当社にはクラウドありきの方針というわけではなく、当社で「実施したいこと」「目指したいこと」をもとに要件定義し、実現する手段としてクラウドやオンプレなどを対策案を検討してきました。
サイバー攻撃に対しては、アプライアンス型WAFで全ての攻撃に対応するのは難しいと考えています。攻撃検知があった際に「この検知は対処すべきか、もしくは誤検知か」「この後どのようなアクションをとれば良いか」といった対応が必要となりますが、次々に攻撃が来る状況下では、全ての攻撃に対応しきれません。巧妙化しているサイバー攻撃に対して、我々も成長しなくてはいけませんが、一朝一夕にはできません。クラウド型WAFのように専門家へ運用管理を任せられることは、ユーザー企業にとっては大きなメリットになります。
井上:WAFの運用管理をセキュリティの専門家に任せ、その上で、自社で対応しなければならない範囲を対応する。アプライアンス型のように全て自社で対応するよりも、クラウド型のほうが効率的なセキュリティ対策の実施が可能だと考えています。
市橋:今回は「スモールスタート」「ファーストスタート」ができることが重要でしたので、DNSを切り替えるだけで導入できるクラウド型WAFに最初から絞っていました。
井上:WAFの導入を検討した対象は、約100サイト弱です。WAFを導入するまでに時間がかかると、その間も攻撃受ける可能性があるため、導入できるものから少しでも早くWAFを導入しセキュリティ強度を高める必要がありました。
その他にも選んだポイントとして、導入のしやすさがあります。当社の課題として、導入するサイトの中には情報システム部以外の部署が管理しているサーバもあり、専用機器の設置やエージェントをインストールするとなると、敷居が高く導入が困難だったと思います。「攻撃遮断くん」は、DNSの切り替えやサーバへのアクセス制御だけで導入できたため、アプライアンス型などに比べると所管部署との調整も比較的簡単でした。
その他にも選んだポイントとして、導入のしやすさがあります。当社の課題として、導入するサイトの中には情報システム部以外の部署が管理しているサーバもあり、専用機器の設置やエージェントをインストールするとなると、敷居が高く導入が困難だったと思います。「攻撃遮断くん」は、DNSの切り替えやサーバへのアクセス制御だけで導入できたため、アプライアンス型などに比べると所管部署との調整も比較的簡単でした。
「攻撃遮断くん」の選定理由は手間なく運用管理できること
WAFを比較する際、どのような点を重視していましたか?
井上:我々の仕事は、システムを運用・運営していくことです。WAFは導入して完了ではなく運用開始後の方が重要なため、システム運用面を一番重視していました。具体的には、「攻撃を受けた際に、どのように対応してもらえるのか」という点を、各社詳細に聞かせていただきました。24時間365日対応はもちろん、当社から何かあった際に問い合わせることができる、問い合わせた内容に柔軟に対応してもらえるといったサポート面を重要視してきました。
市橋:国産WAFというのもポイントです。世界中から攻撃が来ますが、日本は日本独特の攻撃があると考えています。また、何か問題あった際の対応は、国産のほうが早いと思っています。セキュリティ製品は、何かあった際の対応が早くないと一番困ります。また、我々ユーザー企業からすると、国産WAFは技術者が見えるため安心できます
市橋:国産WAFというのもポイントです。世界中から攻撃が来ますが、日本は日本独特の攻撃があると考えています。また、何か問題あった際の対応は、国産のほうが早いと思っています。セキュリティ製品は、何かあった際の対応が早くないと一番困ります。また、我々ユーザー企業からすると、国産WAFは技術者が見えるため安心できます
「攻撃遮断くん」はどのように評価いただけましたか?
井上:「Webサイト入れ放題プラン」というサービスプランは、評価できたポイントです。導入対象が約100サイト弱ありましたので、1サーバ・1FQDNごとに課金されるコスト体系より、100Mbpsや200Mbpsといった帯域で運用できる方が分かりやすく、結果的に費用が抑えられていると感じています。
市橋:人気があるマンションの販売サイトは、販売開始時からすぐに完売となるとWebサーバも役割を終えてしまいます。当社のWebサイトは特別トラフィックが多いわけではありませんが、対象サーバの増減によりトラフィックに変動が出てきます。トラフィックが増えるたびに追加で帯域を申込むより、契約している一定の帯域内で自由に運用できるほうが予算管理しやすく、Webサイトの追加・削除も手続き不要で自由に設定できるというのも便利です。このような手続きも運用業務内のため、手間がかからないほうが運用しやすいです。
市橋:人気があるマンションの販売サイトは、販売開始時からすぐに完売となるとWebサーバも役割を終えてしまいます。当社のWebサイトは特別トラフィックが多いわけではありませんが、対象サーバの増減によりトラフィックに変動が出てきます。トラフィックが増えるたびに追加で帯域を申込むより、契約している一定の帯域内で自由に運用できるほうが予算管理しやすく、Webサイトの追加・削除も手続き不要で自由に設定できるというのも便利です。このような手続きも運用業務内のため、手間がかからないほうが運用しやすいです。
その他に評価いただいた点はございますか?
市橋:丸紅情報システムズ様が窓口となって、あらゆる問い合わせに対応してくれたことです。丸紅情報システムズ様へ問い合わせれば、証明書の発行や更新はJIG-SAW様が、WAFはサイバーセキュリティクラウド様が対応してくれます。我々ユーザー企業にとっては、証明書の窓口、WAFの窓口や障害対応の窓口というように、問い合わせ窓口が何箇所もあるよりは、一箇所で一元対応していただけることは運用管理の手間が減ります。
WAF導入後は脆弱性診断の結果が如実に向上!
攻撃遮断くんの導入効果はございましたか?
井上:「攻撃遮断くん」導入後に例年通りセキュリティ診断を実施すると、WAFを導入したサーバは軒並み評価上がり、指摘事項が減っていました。脆弱性診断の結果が目で見て分かる成果ではないでしょうか。実際にレベルの低い攻撃からSQLインジェクションなどのレベルの高い攻撃まで、全て防いでくれています。
市橋: WAFを導入できていないサーバと比べると、診断結果は明らかです。WAFを導入したものは診断結果が如実に向上していました。予想外にも嬉しかったこととしては、一機も誤検知が無かったことです。WAF導入後の誤検知や過検知は、ある程度覚悟していましたが、今回、「攻撃遮断くん」導入後に誤検知による不具合の問い合わせは一度も受けていません。
市橋: WAFを導入できていないサーバと比べると、診断結果は明らかです。WAFを導入したものは診断結果が如実に向上していました。予想外にも嬉しかったこととしては、一機も誤検知が無かったことです。WAF導入後の誤検知や過検知は、ある程度覚悟していましたが、今回、「攻撃遮断くん」導入後に誤検知による不具合の問い合わせは一度も受けていません。
Webセキュリティ重要性について、どのように考えられていますか?
井上:最近のサイバー攻撃は巧妙化していて、Webサイトのコンテンツ内容に関わらず攻撃を受けるリスクがあると思います。例えば、踏み台にされてしまうと自社サーバが被害を受けるだけでなく他の企業へ被害が及ぶこともありますので、どんなWebサイトへもセキュリティ対策は必要であると考えています。
市橋:当社では各部門の責任者を集めて会議を行い、情報システム部で策定したガイドラインに従って必ずWAFを導入するよう、責任者対して説明していきます。「サーバ上に取られて困る情報は無い」でなく、加害者にならないためにはどうすれば良いかを考え対策することが大切です。誰もが被害者になりたくないという意識は非常に強いため、情報にはアクセス制限や暗号化をしていますが、それだけでなく攻撃の踏み台にされて加害者にならないようにするという意識が重要だと考えています。
市橋:当社では各部門の責任者を集めて会議を行い、情報システム部で策定したガイドラインに従って必ずWAFを導入するよう、責任者対して説明していきます。「サーバ上に取られて困る情報は無い」でなく、加害者にならないためにはどうすれば良いかを考え対策することが大切です。誰もが被害者になりたくないという意識は非常に強いため、情報にはアクセス制限や暗号化をしていますが、それだけでなく攻撃の踏み台にされて加害者にならないようにするという意識が重要だと考えています。
ありがとうございました。
ご協力企業様
丸紅情報システムズ株式会社 JIG-SAW株式会社
