ホスティングサービスやITコンサルティングの事業を行う株式会社ディレクターズ(以下、ディレクターズ)は、オンプレミス運用の海外メーカー製WAF(Web Application Firewall)において、管理画面の操作方法が複雑で分かりづらく、ライセンス費用が高額という課題を抱えていました。それを解決するため、株式会社ジェイピー・セキュア(現:EGセキュアソリューションズ株式会社)のホスト型WAF「SiteGuard Server Edition」(以下、SiteGuard)を選択。海外メーカー製品から置き換えることで、コストを約40%削減するとともに、日本語UIのおかげで社内の誰でも運用が可能になり、お客様への安心と信頼の醸成に大きく貢献したといいます。ディレクターズがSiteGuardの導入を決めた経緯や、導入後の効果について、キーマンとなるお二人にお話をうかがいました。
導入前の課題
- 管理画面の操作方法が独特かつ複雑で分かりづらかった
- 海外メーカー製品のため英語版のマニュアルしかなく使いづらかった
- ライセンス費用が高額だった
導入後の効果
- コストを40%ほど削減
- 日本語UIで誰でも運用が可能になりお客様への安心と信頼を醸成
- ホスティング業務の手間を大幅に削減
導入前の課題
使いづらく費用が高額なWAF製品を見直すプロジェクトが始動
―― 貴社の事業においてWAFをどのように位置付けているのでしょうか。
加藤氏 :ディレクターズはホスティングサービスやITコンサルティングをメインに提供している会社です。長年マネージドサービスを提供してきた経験から、お客様の多様なご要望に合わせてサーバを構成し、それを可能な限り迅速かつリーズナブルに提供することを得意としています。
お客様の多くはWeb制作会社や広告代理店などですが、官公庁や金融機関にもご利用いただいており、現在2000近いサーバをホスティングしています。当社と契約されるお客様は、最初から仕様書にWAFを盛り込むケースがほとんどで、守るべきWebサービスにおいては導入することが常識となっています。
WebセキュリティではWAFは必須の要件といえるでしょう。また、お客様のサーバ環境を移管という形で引き継ぐケースもあり、その時にセキュリティが脆弱だと判断した場合は、迷わずWAFの活用をご提案します。
―― 今回WAF製品を見直されましたが、どのような課題があったのかお聞かせください。
松井氏:当社はオンプレミスとクラウドで運用するWAFを使い分け、中立的な立場でキャリアフリーに選択しております。オンプレミス運用では、あるお客様が自社で管理していたWebサイトがクラッキング被害に遭い、当社に対応含めてWAFの導入を依頼されたのがきっかけで仮想アプライアンス型の海外メーカー製品を導入しました。しかし、運用する中でいくつか問題があったのです。1つ目は管理画面の操作方法が独特かつ複雑で分かりづらかったこと。2つ目は海外製品のため英語版のマニュアルしかなく、疑問点を販売代理店に質問しても適格な回答を得ることができなかったこと。文字通り手探りでの運用でした。そして3つ目はライセンス費用が高額だったこと。これらの問題を全て解決するため、適切なWAF製品に置き換えようと考えました。
選定の決め手
これまでWAFが高額で提案できなかったお客様にもリーズナブルな価格で提供
―― SiteGuardの第一印象と注目した機能についてお聞かせください。
加藤氏:最初にSiteGuardを試すことになったきっかけは、2019年6月頃にお客様からの指名で導入のご要望をいただいたからです。そこで事前検証してみた結果、デフォルト設定でも高い防御性能を持っている点や、インフラを問わずシステム環境にあわせて柔軟に導入することができる点に注目したのです。また、純国産のWAF製品であるため、UI(ユーザーインターフェース)やマニュアル、サポートなどが全て日本語で整っており、当社のエンジニアはもちろん、お客様自身への負担も少ないと感じました。
松井氏:私も実際に使ってみると、海外メーカー製品より設定が分かりやすいと感じました。クイックスタートに配慮されており、導入もしやすい上に、管理画面もシンプルで運用しやすい印象です。これならオンプレミスのみならずクラウド環境でも使えるのではないかと考えました。
―― 選定を決めたポイントとはなんだったのでしょうか。
松井氏:やはりコスト削減への期待ですね。SiteGuardはOS単位の契約なので、これまでWAFが高額過ぎて提案できなかったお客様にも、リーズナブルな価格での活用を推奨できると判断しました。また、サブスクリプションライセンスによりトラフィック量やFQDN(Fully Qualified Domain Name)の数によって料金が変動せず、年単位で一律固定なのも、お客様へのメリットにつながると思いました。
導入後の効果
お客様がWAFの存在を認識していない状況こそが最大の効果
―― SiteGuardはスムーズに導入できましたか。
松井氏:導入自体はマニュアルが完璧に揃っていたので簡単でした。誤検知のチューニングが必要でしたが、それをサポート窓口に問い合わせたところ、ルールごと無効にするのではなく、必要なアクセスだけを通すように、すぐにアドバイスを受けることができたのです。おかげでトラブルもなく、計画通りに本番運用まで移行できました。
―― 現在、SiteGuardをお使いのお客様の状況についてお聞かせください。
加藤氏:SiteGuardは2019年11月から本格的に提供を開始し、オフィシャルサイトなどで数多く活用されています。特にCMS(コンテンツ管理システム)を保護する目的で導入されるケースが増えている印象です。しかし、WAFは普段なら導入の効果を感じにくい機能であり、コストを抑制するため便宜的にオープンソースのWAFで妥協されるケースも少なくないのが現状です。ところが、1度でもクラッキング被害を経験されたお客様ほどWAFの本質や精度の重要性を認識されており、そうしたお客様は実効性の高いSiteGuardを積極的に選ばれています。当社もオープンソースからの乗り換えや、セキュアコーディングではない古い作りのサイトなどには、SiteGuard強くお勧めするようにしています。
―― SiteGuard導入による効果についてお聞かせください。
松井氏:SiteGuardに乗り換えたことにより、コストを40%ほど削減できました。また、海外メーカー製品は操作が複雑だったため、私しか対応できない属人的な運用になっていましたが、SiteGuardがメインになってからは日本語UIのおかげで社内の多くのチームで利用されるようになり、誰でも運用が可能になりました。サポート窓口もレスポンスよく対応してくれるので、お客様への安心と信頼の醸成に大きく貢献しています。
加藤氏:ホスティング事業者としては、クラッキングされる確率が格段に減少し、手間が大幅に削減できているのは確かなようです。一方、お客様にとっては、SiteGuardが日常的に攻撃されるリスクを吸収しているため、あまりWAFが役に立っていることすら認識されていないかもしれません。しかし、その状態こそが最大の効果といえるかもしれませんね。
―― SiteGuardに関するご要望があればお聞かせください。
松井氏:最近は、コードによるインフラの自動構築を可能にするインフラストラクチャー・アズ・コード(IaC)のような手法をお客様から求められるケースが増えています。SiteGuardはコンパイル方法がまだ若干レガシーで、特にNginxでWebサーバを構築する際に一手間かかるため、今後はコード化しやすい形にモダン化されるのを期待しています。
―― 最後に、SiteGuardやEGセキュアソリューションズへのご評価をお聞かせください。
松井氏:海外メーカー製品からの置き換えを行っても、お客様からご不満やWAF起因のトラブルなどは一切発生していないので非常に満足しています。価格も下がり、使いやすくなっているので、その点でも高く評価できます。
加藤氏: EGセキュアソリューションズ には、セキュリティ技術の豊富な知見を基にしたサポートや、最適なライセンス・価格設定などで柔軟な対応をしていただき非常に助かっています。今後は EGセキュアソリューションズ の販売パートナー制度への加入も視野に入れ、SiteGuardを活用したサービスをさらに強化していくつもりです。引き続き、最新情報の提供などのサポートを期待しています。