Webアプリケーションファイアーウォール「Scutum」 ― 導入事例

[導入事例] ディップ様

【ディップ株式会社様 インタビュー】

情報システム室
グループマネージャー
田端 義典 様

イメージ:田端 義典 様

ディップ株式会社は、人材派遣のお仕事探しの情報サイト「はたらこねっと」、アルバイト情報サイト「バイトルドットコム」、看護専門の転職サイト「ナースではたらこ」、採用ホームページ検索エンジン「ジョブエンジン」等をはじめとした業界最大級の総合求人情報サイトを扱うサービス会社である。1997年3月設立。


専門家による運用と価格優位性が決め手

ディップは、ウェブサイトを通じた求人サービス運営のため、複数の求人・紹介サイトから重要度の高い個人情報を蓄積している。これまで同社は、利用者の個人情報を守るためにプライバシーマークの取得、ウェブサイトでのウェブアプリケーション脆弱性診断の実施、SSLサーバ証明書を利用した通信暗号化など、ウェブセキュリティ対策に真摯に取り組んできた。同様に、コーポレートサイトにも同水準のウェブセキュリティ対策を講ずるべく検討を重ね、要求されるセキュリティ水準やコスト、スケジュール等を総合的に判断し、WAFの導入を決定した。WAFは、通常ウェブサイトの直前に置かれ、攻撃のログが残るだけでなく、SQLインジェクションなどのウェブ攻撃に対して、ファイアウォールの役割を果たす。定期的な脆弱性診断に加えてWAFを導入することで、ウェブアプリケーションをより強固にハッカーの攻撃から守ることができる。たとえ運用中のウェブサイトに新たな脆弱性が発見された場合でも、WAFの更新を行うだけでシステムの修正が不要になる。

同社情報システム室 グループマネージャー 田端 義典 氏は、WAFの導入を決めた最大の理由として、常にサイトを監視・保護することにより得られるウェブセキュリティの継続的担保を挙げた。「現状、WAFサービスは大きく分けて、アプライアンス製品、ソフトウェア製品、サービス型製品の3種類が存在する。いずれの製品を選ぶにせよ、必要なセキュリティレベルを保ちながらWAFを運用し続けるためには、セキュリティ専門家による運用管理サービスが必須である。専門家の運用管理コストを合わせた製品比較を実施したところ、『Scutum』がアプライアンス製品などに比べてコストパフォーマンスが突出していた。」田端氏は選定の理由をそう語る。また、『Scutum』には、Gumblarによるウェブサイト改ざんを検知・無害化する等、他のWAFには無い機能があり、そのことも選定の強い動機になったという。

運用管理負荷をかけずに継続的なセキュリティの担保を実現

WAFは、日々進化する攻撃手法に対応し続けるために、シグネチャ(定義ファイル)のアップデートをしなければならず、攻撃と思われる通信を遮断する際に正常な通信を誤検知することがないようにシグネチャ調整を日々実施する必要がある。 田端氏は『Scutum』導入後の感想として「導入を検討してから本番運用まで、苦労することなく1か月という短期間で実現し、シグネチャのアップデートや調整等、WAFの運用で自社内に運用負荷がかかることは一切ない。また、日々どのような攻撃を受け、どのようにブロックされたかを管理画面から確認ができるようになるなど、非常に高度なセキュリティ対策を実現できた。」と語っている。

併せて、同氏は、『Scutum』のトラフィック量上限※(2010年12月現在;10Mbps)が拡張される予定について期待を寄せていることを明かし、今後、同社の関連サイトへ横展開を検討していると述べた。

※Scutumでは、現在処理能力の拡張を進めており、100Mbpsまでのサービスを2011年度中に発表することを計画しております。