株式会社マキシム

連携ツールを活用し AWS WAF を効率的に実装
EC サイトの継続性を強化

概要

お客さまの課題

AWS上で構築した通販サイトのWAF(Web Application Firewall)がシングル構成となっており、トラブルが発生するとサイトにアクセスできなくなるリスクがあった

解決策と効果

「Trend Micro Deep Security™」とAWS WAFでWAFを冗長化。ECサイトの継続性を高めることができたうえ、WAFの設定、運用管理も効率化できた

"Trend Micro Deep Security™ と AWS WAF によってサイトの継続性と安全性に関わる課題を解消。お客様に快適に買い物を楽しんでいただける環境が実現しました"

株式会社マキシム
サービス開発部 マネージャー
田中 悠路 氏

"Trend Micro Deep Security™ は、サーバセキュリティを強化するうえで非常に有効ですが、AWS WAF の効率的な設定、運用管理においても大いに力を発揮してくれました"

クラスメソッド株式会社
AWSコンサルティング部 ソリューションアーキテクト
森永 大志 氏

導入の背景

兵庫県・神戸市に本社を置き、女性向けファッション通販サイト「神戸レタス」の運営を手がけるマキシム。雑誌掲載商品や有名ブランドの人気アイテムなど、多彩な商品で数多くのファンを獲得し、右肩上がりの成長を続けている。

「お客様にショッピングやファッションを楽しんでいただくため、トレンドを先取りした商品の拡充、サービスの使い勝手の向上などに積極的に取り組んでいます」と話すのはマキシムの田中 悠路氏である。

しかし、解決しておきたい課題もあった。ECサイトの継続性に関する問題だ。

お客さまの課題

同社は、ECサイトをアマゾン ウェブ サービス(以下、AWS)上に構築しているが、サイトの安全性を強化するためクラウド型のWAFを併せて利用している。

「『出入り口で通信を見張る』という特性上、WAFは停止してしまうとECサイト自体には問題がなくても、まったくアクセスできなくなってしまいます。従来は、クラウド型WAFだけのシングル構成となっており、トラブルが発生すると、そのままサービス停止につながるリスクがありました」とマキシムのITパートナーであるクラスメソッドの森永 大志氏は言う。

実際、過去にクラウド型WAFの障害によって、一時的にECサイトがつながらなくなったことがあったという。

「幸い短時間で復旧し、損害は軽微でしたが、いつまた同様の事態が起きるか分かりません。例えば、タイムセールを告知しておきながら、その時間帯に障害が発生してしまったら、お客様からの信用を失ってしまいます」と田中氏は話す。

そこで、同社が着手したのがWAFの冗長化に向けた取り組みだ。既存のクラウド型WAFに加え、待機系のWAFを実装し、確実にサービスを継続できる体制を目指したのである。

選定理由

WAFの冗長化にあたっては、現行の運用プロセスをできるだけ変えないといった要件のもと、AWSのサービスである「AWS WAF」とトレンドマイクロの「Trend Micro Deep Security™(以下、Deep Security)」を組み合わせて利用することにした。

「WAFを追加するだけなら、AWS WAF単体でもよいのですが、Deep Securityと併せて利用することで、より安全性を高められ、運用も効率的に行えることから採用を決めました」と森永氏は話す。

また、Deep SecurityがWAFの強化と効率的な実装に貢献できるだけでなく、不正プログラム対策やIDS/IPS、システム変更監視、セキュリティログ監視など、サーバ保護のための機能を統合的に備えており、サーバセキュリティの強化につながることも選定を後押しした。

ソリューション

トレンドマイクロの技術者たちは、自社製品と他社の製品やサービスを効率的にAPI連携させるためのツールを開発し、システム開発を支援する共有Webサービス「GitHub」上でオープンソースとして公開している
※ GitHub上のツールは、公式サポートの対象外となります。

その中の1つに、Deep SecurityとAWS WAFとを連携させるツールがある。このツールを利用すれば、Deep Securityで適用しているサーバに存在する脆弱性を確認し、ルールの作成、適用を行うことができる。

例えば、Deep Securityには、保護対象となっているサーバを検索し、様々なセキュリティルールの適用または適用解除を推奨してくれる推奨設定検索機能がある。これをもとに、脆弱性保護のルールを作成、適用することも可能だ。

「つまり、1からセキュリティルールを作成するという工数をかけることなく、トレンドマイクロの豊富な知見をもとにした最適なルールをWAFに設定できるのです。しかも、連携ツールはオープンソースですから技術者と直接コミュニケーションを取って、改修などを依頼することもできます。私自身も様々な依頼をしました。我々システムインテグレーターにとっては、非常にありがたい取り組みです」と森永氏は話す。

GitHub上では、AWS WAF連携ツール以外にも、プッシュ方式のメッセージ送信サービスであるAmazon Simple Notification Service (SNS) や、アプリケーションの脆弱性を自動評価するAmazon InspectorなどとDeep Securityを連携させるツールも公開されている。森永氏は、これらのツールにも期待を寄せる。

「各ツールを効果的に組み合わせて利用することで、Deep Securityのインシデント検知ログをきっかけにAWSの各サービスを動的に対応させるなど、セキュリティの自動化に向けた動きが加速するのではないかと感じています」(森永氏)

AWSを活用している神戸レタスのサービス構成

導入効果

Deep Security とAWS WAFによって、マキシムはECサイトの継続性を強化することに成功した。

「稼働系であるクラウド型WAFにトラブルが発生すれば、自動的に待機系WAFに切り替わり、サービスを継続できます。以前のような不安はなくなり、安心感が高まりました」と田中氏は語る。

当初に見込んだ通り、Deep Securityを併用したことでAWS WAFの運用管理も効率化できた。「Deep Securityを通じて、サーバの状況に応じた設定を容易に行うことができました。仮に同じ作業をすべて人手で行ったとしたら10倍以上の工数がかかっていたと思います」と森永氏は言う。

もちろん、Deep Securityの本来の用途であるサーバ保護によって、ECサイト全体のセキュリティを強化できた点も大きな成果である。

「ファイルのやり取りなどがないECサイトはWAFだけで十分という考え方もありますが、その状態で仮にWAFを突破されると、サーバ側で大きな被害が発生するリスクがあります。今回、Deep Securityでサーバを保護し、サイト全体で被害を抑止する多重防御が実現したことは、継続性に加えて、情報保護という観点での安心感につながっています」(田中氏)

今後の展望

このようにDeep Securityを利用することで、同社は効率的にECサイトの可用性と安全性を高めることに成功した。「事業の根幹であるECサイトを止めないことはもちろん、個人情報や決済情報を扱うEC事業者にとってセキュリティは、非常に重要なテーマとなります。今後も先手を打って、安全性の強化に継続的に取り組んでいかなければならないと考えています」と田中氏は最後に抱負を述べた。

※ 記載内容は2016年8月現在のものです。内容は予告なく変更される場合があります。