

写真:
情報システム部 システム運営グループ
グループ長 市橋 章宏(左)
井上 悠 (右)
- 清水建設が運用するWebサイトのセキュリティレベル統一
- 開発を外部委託しているシステムの安全性確保
- セキュリティ診断では対策として不十分な脆弱性への迅速な対応
- DNSの切り替えやサーバへのアクセス制御によるWebサイトのセキュリティレベル統一
- WAFを導入したサーバのセキュリティ評価が向上
- 契約帯域内での可用性の高さによる、予算管理工数の削減
海外でも活躍する清水建設では、Webサイトなど約60サイトへクラウド型WAF「攻撃遮断くん」を導入しています。
今回「攻撃遮断くん」の導入にあたり、丸紅情報システムズ株式会社(以下、丸紅情報システムズ)、JIG-SAW株式会社(以下、JIG-SAW、株式会社サイバーセキュリティクラウド(以下、サイバーセキュリティクラウド)が清水建設の「攻撃遮断くん」導入をサポートしました。
清水建設がクラウド型WAF「攻撃遮断くん」の導入に至った経緯、そして製品選定のポイントやWebセキュリティに対する考え方について伺いました。
全社のセキュリティレベル統一に向けた新しい施策
WAF導入の経緯についてお聞かせいただけますでしょうか。

一から情報システム部で設計・構築したサーバは、一般公開前にセキュリティ診断やネットワーク診断を実施し、安全を確保しておりますが、それ以外のサーバでは、セキュリティ診断が実施されていないものもあります。当社管理の全てのサーバに対するセキュリティ対策が不可欠なため、2年前から全システムに対して毎年セキュリティ診断を実施する規定を定めました。そして、セキュリティ強化の次なる一手として検討したのがWAFです。
毎年実施するセキュリティ診断への対策だけでは、次々に発生する脆弱性に対応しきれないと考えていました。そのため、恒常的にサーバを防御できるWAF導入を検討することしました。全社共通のWAFを導入することで、セキュリティレベルを統一することが目的です。
重要なのは運用管理を専門家に任せられること
どのような種類のWAFを検討していましたか?
当社にはクラウドありきの方針というわけではなく、当社で「実施したいこと」「目指したいこと」をもとに要件定義し、実現する手段としてクラウドやオンプレなどを対策案を検討してきました。
サイバー攻撃に対しては、アプライアンス型WAFで全ての攻撃に対応するのは難しいと考えています。攻撃検知があった際に「この検知は対処すべきか、もしくは誤検知か」「この後どのようなアクションをとれば良いか」といった対応が必要となりますが、次々に攻撃が来る状況下では、全ての攻撃に対応しきれません。巧妙化しているサイバー攻撃に対して、我々も成長しなくてはいけませんが、一朝一夕にはできません。クラウド型WAFのように専門家へ運用管理を任せられることは、ユーザー企業にとっては大きなメリットになります。
井上:WAFの運用管理をセキュリティの専門家に任せ、その上で、自社で対応しなければならない範囲を対応する。アプライアンス型のように全て自社で対応するよりも、クラウド型のほうが効率的なセキュリティ対策の実施が可能だと考えています。
市橋:今回は「スモールスタート」「ファーストスタート」ができることが重要でしたので、DNSを切り替えるだけで導入できるクラウド型WAFに最初から絞っていました。

その他にも選んだポイントとして、導入のしやすさがあります。当社の課題として、導入するサイトの中には情報システム部以外の部署が管理しているサーバもあり、専用機器の設置やエージェントをインストールするとなると、敷居が高く導入が困難だったと思います。「攻撃遮断くん」は、DNSの切り替えやサーバへのアクセス制御だけで導入できたため、アプライアンス型などに比べると所管部署との調整も比較的簡単でした。
「攻撃遮断くん」の選定理由は手間なく運用管理できること
WAFを比較する際、どのような点を重視していましたか?
市橋:国産WAFというのもポイントです。世界中から攻撃が来ますが、日本は日本独特の攻撃があると考えています。また、何か問題あった際の対応は、国産のほうが早いと思っています。セキュリティ製品は、何かあった際の対応が早くないと一番困ります。また、我々ユーザー企業からすると、国産WAFは技術者が見えるため安心できます
「攻撃遮断くん」はどのように評価いただけましたか?
市橋:人気があるマンションの販売サイトは、販売開始時からすぐに完売となるとWebサーバも役割を終えてしまいます。当社のWebサイトは特別トラフィックが多いわけではありませんが、対象サーバの増減によりトラフィックに変動が出てきます。トラフィックが増えるたびに追加で帯域を申込むより、契約している一定の帯域内で自由に運用できるほうが予算管理しやすく、Webサイトの追加・削除も手続き不要で自由に設定できるというのも便利です。このような手続きも運用業務内のため、手間がかからないほうが運用しやすいです。
その他に評価いただいた点はございますか?
WAF導入後は脆弱性診断の結果が如実に向上!
攻撃遮断くんの導入効果はございましたか?

市橋: WAFを導入できていないサーバと比べると、診断結果は明らかです。WAFを導入したものは診断結果が如実に向上していました。予想外にも嬉しかったこととしては、一機も誤検知が無かったことです。WAF導入後の誤検知や過検知は、ある程度覚悟していましたが、今回、「攻撃遮断くん」導入後に誤検知による不具合の問い合わせは一度も受けていません。
Webセキュリティ重要性について、どのように考えられていますか?
市橋:当社では各部門の責任者を集めて会議を行い、情報システム部で策定したガイドラインに従って必ずWAFを導入するよう、責任者対して説明していきます。「サーバ上に取られて困る情報は無い」でなく、加害者にならないためにはどうすれば良いかを考え対策することが大切です。誰もが被害者になりたくないという意識は非常に強いため、情報にはアクセス制限や暗号化をしていますが、それだけでなく攻撃の踏み台にされて加害者にならないようにするという意識が重要だと考えています。
ありがとうございました。
ご協力企業様
