インターネットサービス提供事業者にとって、進化し続けるサイバー攻撃にどう対抗していくかは経営に直結する深刻な課題だ。月次課金ユーザー数4万人を誇るライブ配信サービス「ふわっち」の開発・提供を行う株式会社A Inc.では、専門家とソフトウェアが包括的に管理、運⽤するセキュリティサービス「CloudFastener(クラウドファスナー)」を用いることで、限られた人員でのサービス開発とセキュリティのバランスを最適化している。
-
株式会社A Inc. 事業本部 開発部部長 大葭原 嵩昌氏
業界を襲ったDDoS攻撃で社内のセキュリティ体制を見直し
誰でも気軽に動画やラジオの生配信ができるライブ配信サービス「ふわっち」は、2015年のリリース以降、他社サービスに先駆けて「投げ銭」システムを実装し、30〜40代を中心に売上高を着実に伸ばし続けてきた。そんなふわっちの開発提供を行うのがA Inc.だ。親会社である株式会社jig.jpは、2003年の創業以来一貫してモバイルソフトウェアの企画・開発・提供を行ってきた老舗インターネット企業で、携帯電話(ガラケー)でPCサイトを閲覧できる「jigブラウザ」の開発元である。
「ふわっちの立ち上げ当初は私も含めて数名の限られたメンバーだったこともあり、機能追加や品質改善に開発リソースを注ぐ必要がありました。その後、サービスの成長と共にメンバーも増えていき、2023年にサービス開発体制を強化するため、バックエンドの開発チームをサーバー、インフラ、データ分析、イベントの4つのグループに分割しました。ただ、セキュリティについては各グループを横断的に担当するかたちで、それぞれのグループに所属するメンバーが兼務していました。そのため、何か大きなインシデントに直面するとスピーディーな対応が難しくなると危惧していました」(大葭原氏)
同社の事業本部 開発部部長 大葭原 嵩昌氏の懸念が現実のものとなったのが、2024年2月に発生した複数のライブ配信サービスへのDDoS攻撃だった。ふわっちは大きな被害を受けなかったものの、他社サービスは障害によって配信ができなかったり遅延が発生したり、大きな問題となった。
「ライブ配信サービスを狙い撃ちにした攻撃だったことは明らかだったため、当然ふわっちにも大規模な攻撃がしかけられるリスクがありました。セキュリティ体制が十分とはいえない中、深刻な経営リスクを招かないためにも、早急に体制を見直す必要があったのです」(大葭原氏)
専任の担当者がいない中、包括的な支援サービスが導入の決め手に
A Inc.が当時抱えていたセキュリティ課題は3つ挙げられると大葭原氏。
1つ目は「セキュリティに対する組織体制」だ。セキュリティアラートを収集、分析したり、運用や対処を担ったりするSOCやCSIRTのような組織は未整備だった。
2つ目は「セキュリティ運用負荷の増大」。バックエンドの開発チームを4つの専門グループに分けたものの、セキュリティ担当者は本来の開発業務をこなしながら対応していたため、業務負担が大きくなっていた。
そして、3つ目は「社内セキュリティ人材の不足」である。DDoS攻撃だけでなく、ランサムウェア攻撃や標的型攻撃など高度なサイバー攻撃に対応するためのセキュリティ意識の醸成と人材育成が必要だった。
開発、運用からセキュリティ対応まで自社運用が基本だったA Inc.は、サービスの提供基盤として早くからAWS(Amazon Web Services)を採用しており、AWSが提供するセキュリティサービスを利用してアプリケーションやインフラの保護を行ってきた。
ライブ配信サービスへのDDoS攻撃についてAWSの担当者に相談したところ、まずはサイバーセキュリティクラウドが提供するWAF自動運用サービス「WafCharm(ワフチャーム)」を紹介さたという。しかし、WafCharmはAWS WAFの運用を自動化することに特化しているサービスであるため、前述の3つの課題すべてを解消することが難しかった。そこで導入検討に挙がったのが、同じサイバーセキュリティクラウドが提供する「CloudFastener」だった。AWSやAzure、Google Cloudの各種セキュリティサービスの管理・運用を、24時間365日、専門家とソフトウェアが包括的にサポートするサービスである。
「CloudFastenerなら脅威への対応だけでなく、日々のセキュリティ運用をサポートしていただけるうえ、人材育成でも役立つことが分かりました。専任のセキュリティ担当者がいない我々のような企業にとって、包括的なサービスが受けられることは大きな魅力です。その後、導入運用コストは適切か、長期的に利用することでどんなメリットが得られるかなどを検討して、採用を決めました」(大葭原氏)
CloudFastenerは脅威の特定だけでなく、防御、検知、対応、復旧までの一連の取り組みを一貫してサポートしている。そのため、とくに不十分と感じていたセキュリティ体制の構築をサポートしてもらえる点に期待を抱いたという。 もう1つ決め手となったポイントが、社内向けセキュリティ教育を充実できる点だ。
「サービス開発という本来の業務に集中してきたため、社内にはセキュリティだけを専門にするエンジニアの数は少なく、セキュリティが得意な一部のエンジニアの力を頼ってきました。また、社内に専門的なセキュリティ教育を実施できる人材も少ない状況です。サイバー脅威は日々進化していますから、我々だけで最新情報を収集することは難しい。専門家が教育も含めてサポートいただけることは大きな魅力でした」(大葭原氏)
セキュリティ専任担当者を担う形で社内の体制見直しに貢献
2024年7月に導入したCloudFastenerは、すでにさまざまな効果を発揮しているという。 課題となっていた「セキュリティに対する組織体制」については、権限設定の棚卸しをはじめ、根本的な体制の見直しを急ピッチで進めてきている。
「10年近くサービスを運用してきていて、IAMなどの権限設定が複雑化していました。それら権限を棚卸しして再構築していく作業が必要でしたが、開発業務に追われてずっと後回しになっていたんです。権限設定の棚卸しは、非常に地道で泥臭い作業であり後回しになりがちです。それらを我々に代わって丁寧に実施していただいたうえ、継続的に改善する仕組みも整えてくれました」(大葭原氏)
また「セキュリティ運用負荷の増大」という課題についても大幅に軽減できている。
「毎週行われる定例ミーティングにCloudFastenerの専任チームに参加いただき、さまざまなアドバイスをいただいています。例えば、AWS Security Hubのアラート情報の分析やモニタリング、最新の脅威の傾向、どのような脅威にどう対応していけばよいかなどのアドバイスです。トリアージや調査対応も行なっていただけるので、まさに当社のセキュリティ専任担当者を担っていただいている形です」(大葭原氏)
「社内セキュリティ人材の不足」という課題については、日々の運用サポートのなかで実践的なセキュリティ教育を受けているという。
「実はAWSのセキュリティサービスは、これまであまり活用できていませんでした。ツールの使い方からセキュリティ指標の作成、そのための考え方の提示など、日々の運用のなかでさまざまなアドバイスをいただいています。CloudFastenerの専任チームに伴走してもらうことで、社内にセキュリティ意識を醸成し、セキュリティ人材の育成につなげていきたいと考えています」(大葭原氏)
CloudFastener導入によって、ビジネス成長とセキュリティ強化がバランスよく実現できるようになったA Inc.。大葭原氏は「今回、セキュリティを最初から組み込んだ開発体制を構築できたことは最も大きな成果です。今後はふわっちだけでなく、新サービスも含め、CloudFastenerによるサポートを得てビジネスを成長させたいです」と展望する。A Inc.のさらなる飛躍をCloudFastenerが支えていくことだろう。
-
株式会社A Inc. 大葭原氏とサイバーセキュリティクラウドのCloudFastenerチームメンバー。取材は和やかな空気の中行なわれた。
[PR]提供:サイバーセキュリティクラウド
複数のルータを侵害したDDoS攻撃が発生、日本国内にも影響
