トランスコスモス株式会社

  • 業種

    スマホアプリ開発、構築

  • 課題・要望

    WAFの採用 および自動運用

  • 製品・サービス

    WafCharm

  • セキュリティ
  • スマホアプリ開発、構築
  • WAFの採用

AWS上のWebシステムにWAF導入、その自動運用サービスとして「WafCharm」を利用 煩雑なルール設定などを自動実行、手間のかからないセキュアな運用を可能に

WAFのルール作成や新たな脆弱性への対応などを自動化する「WafCharm」

優れた人材と最新の技術力を融合させることで、さまざまな業界に高品質のサービスを提供しているトランスコスモス。コールセンター、デジタルマーケティング、EC、ビジネスプロセスアウトソーシング(BPO)、アナリティクス(調査、分析)、グローバル市場向け事業など、多岐にわたるサービスを提供している。また、顧客企業のデジタル化を支援するためDX推進の支援やSI事業にも注力している。

SI事業では、WebシステムやスマホアプリのシステムをAWSなどのパブリッククラウド上に構築するケースが増えているが、金融や保険といった業界向けのシステムでは特に高いセキュリティレベルが求められるため、Web Application Firewall(WAF)が必須となっている。

Webシステムの通信には、一般的なプロトコルが用いられるため、悪意を持った攻撃者であっても一般ユーザーと同様のプロトコルを用いてアクセス可能であり、通常のファイアーウォールで防御することが難しい。そこでWebアプリケーションを守るための用いられるのがWAFだ。

ある企業からの受託でスマホアプリの開発を進めていたトランスコスモスでも、その企業に対しWAFの利用を提案していた。DEC統括 DTF総括 DI事業本部 MT統括部 SI部 SI3課の三野暁宏氏は「非常に高いセキュリティレベルが求められるスマホアプリでしたので、AWSでのシステム構築にあたって、WAFを提案しました。そしてWAFを自動運用するためのサービスを探しているなかで見つけたのがWafCharmでした」と語る。

AWSでは専用のWAF「AWS WAF」が提供されており、その導入は早々に決定したが、専門性の高いサービスという印象は拭えず、日々の運用負荷の高さを懸念していた。

WAFを適切に運用するには、正当なアクセスを許可しつつ攻撃をブロックするためのルールを設定しなくてはいけない。また新たな脆弱性、未知の攻撃手法が発見されるたびにルールを変更していく必要もあった。それに対応し自前で運用するためには、膨大な手間と時間、マンパワーが必要と考えられた。そして負荷軽減のためにWAFの自動運用サービスを探し始めてすぐに目に留まったのが、サイバーセキュリティクラウド(CSC)のWafCharmだった。

セキュリティ人材が不可欠なWAF運用の負荷とコストを軽減

transcosmos-logo.png
「AWS WAFはルールの設定が難しい、負担が大きいと聞いていたので、それらの運用を自動で行ってくれるツールを探していました。WafCharmのこれまでの導入実績などを評価したうえで、ベンダーであるCSCに問い合わせを入れました」(三野氏)

同ソリューションには、AWS WAFとの親和性のほか、コスト面にもメリットを感じていた。「WAFの運用のノウハウ、スキルを持ったセキュリティエンジニアを配置し、新たな脆弱性などの最新情報を継続的に調査するのは大変な負担であり、運用コストに跳ね返ります。WafCharmを利用するコストと、自分たちで運用するコストを比較すると、前者のほうがコストを抑えられたのです」(三野氏)

CSCへコンタクトを取った三野氏は、CSCと代理店契約を結んでいるブロードバンドタワー(BBTower)を紹介された。BBTowerとトランスコスモスの間には約10年に及ぶ取引実績があった。AWSでのシステム構築やインフラ構築、システムの監視、運用、セキュリティなどのサービスを、BBTowerが提供してきたのである。

「すでに長年の取引実績があるBBTowerには信頼感がありました。また審査や契約、NDAなどの手続きを新たに行う必要もないので、WafCharmのスムーズな導入につながるという面もありました」(三野氏)

セキュリティの問題が「何も起こらない」ことのありがたさを実感

そして2021年11月、WafCharmの1カ月間無料トライアルを利用した。トライアルに必要なアカウントはBBTowerがCSCに申請、払い出しを行った。その後、BBTowerから三野氏に設定手順をまとめたWebページが案内されたのだが、「その記載通りに4ステップの手順を実行し、約1営業日でトライアルが利用開始できた」という。

その使用感について、三野氏は「本当に何も起こらない、何もしなくて良い」と評価する。 「WAFはあくまで予防策。何より大事なのは、セキュリティに関する問題が起きないこと。特に、今回のプロジェクトでは非常に高いセキュリティレベルが求められており、絶対に問題が起きてはいけないのです。そのため、開発過程、リリースまでの工程ではセキュリティに関するチェックを徹底的に行うのですが、何も起こらないWafCharmはありがたい存在でした」(三野氏)

「すべておまかせ」でも自動運用に問題なし。本番稼働後も続く安心感

トライアルから1カ月後、WafCharmは本格稼働へ移行した。移行にあたっては新規にアカウントを作る、改めて設定し直すということはなく、トライアル環境をそのまま昇格して実際の環境に移行できる。本番環境に移行してからも、特にWafCharmについて意識することなく、AWS WAFを運用できているという。

そしてスマホアプリは開発を終え、無事にリリースを迎えることができた。AWS WAF運用スタッフの後任として配属されたDEC統括 DTF総括 DI事業本部 MT統括部 SI部 SI3課 システム運用担当の杉山俊司氏は、万全な防御システムと、引き継ぎなしでも参加できたというWafCharmの運用の容易さを高く評価する。

「新たな脆弱性は常に出てくるものなので、自分たちで迅速に脆弱性を解消したりルールを見直すのは難しいことです。それらを自動的にやってくれて、特段監視する必要もないのが一番の強みだと感じています。また、プロジェクトに参加する際もWafCharmについての引き継ぎはなかったのですが、特に困ることもありませんでした。 WAFの運用はすべておまかせできるので、WafCharmの画面を確認することもほとんどありません。万が一インシデントが発生したらメールで通知が届くことになっていますが、今のところ一度もありません」(杉山氏)

ただ一度だけ、AWSの仕様変更があった際に「WafCharmの設定が必要か、影響は出ないか」とBBTowerに問い合わせたことがあるという。BBTowerは回答する際に、決まりきった定型文の回答ではなく、ユーザー視点での課題解決につながる回答ができるよう配慮している。その回答に、杉山氏は「BBTowerの回答には、代理店としての真摯さが感じられました」と評価する。

同部門では年間数十のシステム開発を手掛けているが、「セキュリティ対策はどの案件でも重視されており、設計や開発の段階からリスクを察知して予防策を講じるのは重要です。今回の導入を通してWafCharmのメリットも感じましたので、今後のAWSを使ったシステム開発ではお客様に対して提案していきたいと考えています」と三野氏は語った。
企業名
トランスコスモス株式会社
https://www.trans-cosmos.co.jp/
設立
1985年
所在地
東京都豊島区東池袋3-1-1 サンシャイン60
事業内容
課題に合わせて「人」と「技術」を選定し、ユーザー企業にとって最適なサービスを提供してきたデジタル・トランスフォーメーション・パートナー企業。国内だけでなく、アメリカや中国、ベトナムなど、海外にも事業を展開。お客様企業、社員、社会・株主へのコミットメントを目的として、コールセンター、デジタルマーケティングをはじめとしたさまざまなサービスを提供している。