誤検知による負担がないなど性能を高く評価し
複数のプロダクトにWafCharmを展開
WafCharmの評価をお願いします。
AWS WAF + WafCharmでの運用を始めて1年ほどになりますが、この切り替えに起因するインシデントが発生したという報告はありません。最初はエネルギーデータ事業の1つのプロダクトからでしたが、エネルギープラットフォーム事業に横展開していったのは、WafCharmの実績が社内で認められたからです。今後、新プロダクトを作った場合にもAWS WAF + WafCharmが第1候補になると思います。
セキュリティ対策としての直接的な価値以外では、大きく4つの価値を実感しています。
導入が簡単で運用も楽にできる
導入はとてもスムーズで、最初に導入したプロダクトでも1時間程度で作業を終えられました。中身が空のWeb ACL(Webアクセスコントロールリスト)を用意してマニュアル通りにWafCharmの初期設定を行うだけで、必要なWeb ACLのシグネチャが追加されます。また、新たな脅威が登場してもWafCharmにお任せで対応できるので、普段は意識することすらないぐらいです。ネットワークの基本的な知識があれば誰でも導入・運用が可能ではないでしょうか。
誤検知の煩わしさがない
実は、もしかしたら誤検知が発生するのではないかという不安がありました。問題のないアクセスなのに誤って遮断してしまうとユーザーに迷惑がかかってしまいますし、対応も大変です。また、リクエストの許可設定を増やしていくと管理が複雑になり、設定を誤ってしまうリスクもあります。しかし、そんな事前の懸念に反して、運用している事業部からの誤検知の報告は、これまで一切ありません。
管理者の心理的負担を解放した
当社では外部の専門家に脆弱性診断を依頼しており、その結果にもとづいて一部のプロダクトだけにWAFを導入していました。今回のAWS WAFへの移行では、まずはトラブルが発生しても影響が少ないところから導入を進める方針を立てたことから、WAF未導入のプロダクトが対象となり、その後も複数のプロダクトに次々と展開していきました。脆弱性診断を受けているとはいえ、管理者としてはDDoS攻撃など悪意のあるリクエストが多数来てしまったらどうしようという不安はありましたので、それが解消された心理面のメリットは大きいです。
低コストでセキュリティ対策を強化できた
かなりリクエストの多いサービスにも導入しましたが、コスト上昇のインパクトはあまり大きくありません。コスト算出では運用の負担も考慮すべきですが、これまで紹介したとおり大きな負担を強いられることはなく、コストを抑えつつAWS WAF + WafCharmの適用プロダクトを増やしてセキュリティを強化できました。
学習コストを必要とせずスムーズに導入でき
セキュリティ強化できる
今後進めたいと考えているセキュリティ対策はありますか。
サービスを停止する必要があるため、『攻撃遮断くん』からAWS WAF + WafCharmに移行できていないプロダクトがありますので、できるだけ早期に実現したいと考えています。
また、さらにセキュリティ対策の水準を上げるため、AWS Well-Architected Frameworkを参考にしながら各プロダクトのレビューを進める予定です。加えて、ガバナンス強化のための見直しも進めるつもりです。
WafCharm導入の先行ユーザーとして、導入を検討している企業に向けたアドバイスがあればお願いします。
トライアルはスムーズに案内していただけましたし、実際に導入するときにも本当に順調でした。WafCharmに対して「学習コストが発生しそうだ」とためらっている方がいるかもしれませんが、まったく心配ありません。また、誤検知を気にしすぎる必要もないと思います。
特におすすめしたいのが、人材やコストの制約が厳しくてセキュリティ対策が後回しになりがちなスタートアップやベンチャーです。手間やコストを大きく増やさずにセキュリティを高められるので、本来注力すべき開発業務などへの影響が少なく、スタートアップにはピッタリではないでしょうか。
