【対談】WafCharmとKUSANAGIでセキュリティ強化を目指す～WafCharm開発秘話

　こんにちは。KUSANAGIの開発チームで取締役をしている相原です。

　「KUSANAGI」はWordPressをはじめとするCMSを高速に動作させる仮想マシンです。わたしたちは「KUSANAGI」を開発して皆様にご利用いただくほか、お客様のWebサイトを「KUSANAGI」で運用しています。

　この連載では、「KUSANAGI」の開発やお客様とのお話の中で感じた課題や実際の運用の中で得た知見などをお伝えしています。

　今年（2022年）の6月、わたしたちは株式会社サイバーセキュリティクラウドとWAFによるセキュリティ強化のためのパートナーシップを締結しました。

　WAF（Web Application Firewall）とは、Webサイトへの攻撃を遮断するサービスで、シグネチャと呼ばれる防御ルールをまとめたものをもとに、サイバー攻撃を防ぐものです。Webサイトのセキュリティを強化するためのツールとして一般的になってきましたが、導入するにはハードルが高いと思われていらっしゃる方も多いと思います。

　そこでもっと「WAFについて身近に感じていただきたい！」と株式会社サイバーセキュリティクラウド 代表取締役CTOの渡辺洋司氏をお迎えしてのインタビューを企画しました。

「WafCharm」の開発秘話もありますので、ぜひ最後までお楽しみください。

参加者
株式会社サイバーセキュリティクラウド　代表取締役CTO　 渡辺 洋司
プライム・ストラテジー株式会社　企画開発部管掌取締役 相原 知栄子
インタビュアー　大谷 イビサ：ASCII編集部
（敬称略）

サイバーセキュリティクラウドについて

　

大谷：まず、サイバーセキュリティクラウドさんのサービスについて教えてください。

渡辺： サイバーセキュリティクラウドは中心となる「攻撃遮断くん」、「WafCharm」、「AWS WAF Managed Rules」といったWAF関連ソリューションのほか、「SIDfm」や脆弱性診断など、システムのOS、ミドルウェアからアプリケーションレイヤーまで一貫して対応できるようなソリューションを順次展開しています。

　

　

「攻撃遮断くん」の高い継続率の秘密

大谷：「攻撃遮断くん」の継続率が高い理由を教えてください。

渡辺：お客様サポートに力をいれています。日本国内のエンジニアで対応しているので高度で迅速なサポートを実現できています。

裏側の仕組みとしては、AIやデータを使ったルールのチューニングによるセキュリティ精度向上に継続的に取り組んでいます。シグネチャの配信速度もとても重要であると考えていて、世界レベルでのスピードを実現しています。

大谷：難しいことを考えずに守ってもらえて、サポートも充実していて、常に進化しているから、継続して利用されているということなんですね。

「WafCharm」について

渡辺：「WafCharm」はパブリッククラウドのWAFを自動運用するサービスです。

　現在はAWSの「AWS WAF」、Microsoft Azureの「Azure WAF」、Google Cloudの「Google Cloud Armor」に対応しています。

　

　2017年のAWS WAFへの対応から始まった新しいコンセプトのサービスで、今では「攻撃遮断くん」と肩を並べるサービスに成長しました。現在日本と米国でサービスを提供していて、さらなるグローバル展開を目指しています。

　クラウドの中だけで完結できるのでお客様にとっても障害点が少ないということもメリットのひとつになると考えています。

「WafCharm」開発秘話～最初は単純な興味から

大谷：自社のWAFを持っていながらグローバルクラウドのWAFにも対応することで、お客様の選択肢を増やしたほうがいい、ということを2017年というはやい段階で判断したということなんでしょうか。

渡辺：まず、「わたし自身の興味が強かった」ということがあります。WAFには「ルールをどうやって作ろう」とか、「誤検知したときのチューニングをどうするか」などの運用の難しさがあります。箱だけがあっても専門家じゃないとどうしようもない、というのがあるんですね。ですので、「WAFの運用はみんな困っていて、そこにニーズがある」というところに着目しました。

　実は初期のAWSのWAFは細かなルールを設定できなかったんです。入れられるルールの数も少なくて、「本当にみんなが使えるものになるのか？」と思いました。

　それが正規表現に対応して攻撃のパターンを表現できるようになったので、そのタイミングで開発を開始しました。

　この時に活きてきたのが「攻撃遮断くん」のサービス提供で培ったノウハウでした。

　「我々がパブリッククラウドのWAFにルールを適用してチューニングする」ことで、顧客への価値が提供できると考えて、サービスをリリースしました。

「WafCharm」の自動運用とは

大谷：サービスについてもう少し詳しく教えてください。自動運用というのはどのようなことをやっているのでしょうか。

渡辺：まず、シグネチャのルールのセットを設定します。このルールは我々の運用で培ったベストなもので、破壊的な行為に係わるようなものをおすすめのセットにしています。

　そして、通信のデータ等を分析して攻撃者のIPアドレスをブラックリストに加えていきます。サービス全体で持っているブラックリストも更新しながら設定することで、クラウドにきている攻撃を全方位的に止めるということと、お客様の環境で起きている固有の攻撃を止める、ということを自動的に行なっています。

　

　ここまでが全自動で運用できるようになっています。その上で、追加のチューニングの希望があればサポートとしてエンジニアが対応します。

　また緊急性の新規の脆弱性については、お客様によって環境が異なるので、我々でルールを作成して、設定するかどうかはお客様に判断いただいています。

大谷：以前はWAFで通信を止めるというのはそれなりにリスクなので、「検知はするけどブロックはしない」というような話も聞きましたが、今はみなさん「WafCharm」におまかせ、という感じなんでしょうか。

渡辺：はい。最初はブロックしない「検知モード」を使うこともありますが、実際にはブロックまで踏み込んで利用いただいているお客様のほうが多いですね。「検知モードのままにしていて、大きな脆弱性が出たときに攻撃されてしまった」という話もあるので、ブロックを基本にして運用していただくのがいいと思います。

大谷：攻撃の種類や数など、もはや人の手では対応できない、というところまできているので、全自動で対応できるというところにメリットを感じているというわけですね。

協業の背景はお客様のセキュリティに関する考え方の変化

大谷：では、今回の協業についてお話を聞かせてください。どのようなきっかけでしたか。

渡辺：実はこの協業の以前からプライム・ストラテジーさんには「WafCharm」をお格様に提案、導入いただいていたのですが、AWSでの導入が増えたということで代理店の契約を結ぶことになりました。

　

相原：そうですね。本質的な背景としては、お客様のセキュリティに関する考え方が変わってきたということが大きかったと考えています。

　これまでは収益に直結するような投資以外は控えていた企業も多かったのですが、直近ではセキュリティやWebのガバナンスを気にされる企業が増えてきて、WAFを提案することが増えてきました。

　そこで、サイバーセキュリティクラウドさまとしっかり連携をすることで、お客様にもよりよく提供していけるようになれば、と考えてお声がけをさせていただきました。

マネージドサービスの一環としての「WafCharm」

相原：わたしたちは、KUSANAGIをご利用いただくお客様に運用保守サービスとしてKUSANAGIマネージドサービスを提供しています。そのサービスと組み合わせて「WafCharm」を提供する形になります。

　また、直近ではセキュリティやWebのガバナンスを気にされる企業様向けに、Webの運用環境を統合して、運用ルールを策定し、高速に、安全に運用する「CMSプラットフォーム統合サービス」を展開しており、そこでもWAFをはじめとするセキュリティツールの導入や運用を提案させていただいています。

　

　自分たちで数多くのお客様のWAFのルールの作成や運用を行うということは現実的ではないので、「WafCharm」に任せられることと、サイバーセキュリティクラウドさまのサポートを活用できることはとてもありがたく、お客様にもより良い価値を提供できることにつながると考えています。

WordPressの脆弱性への対応について

大谷：やはりWordPressを利用しているお客さんが多いと思いますが、プライム・ストラテジーさんはこれまで、WordPressの脆弱性にどういう対応をしていたのでしょうか。

相原： WordPressはユーザー数も多いので脆弱性があったときの影響範囲も広いのですが、実際に攻撃されてしまうのはきちんと管理されていないサイトがほとんどです。

　そのため、基本中の基本ではありますが「アップデートをしっかりすること、これに尽きます。」とお話しさせていただいています。あとは管理画面をしっかり守ること、これでほとんどの脆弱性への対応はできますとご説明しています。

渡辺：アップデートはとても重要ですね。

　われわれの方でもWordPressの脆弱性は常にウォッチしています。脆弱性の多くはプラグインから発生するもので、SQLインジェクションやクロスサイトスクリプティング（XSS）といった、基本的にはWAFが入っていれば防げるようなものが多いです。

　たまにクリティカルなものがでて、アップデートまでに時間がないときに仮想パッチとしてWAFのルールを適用できるという利点もあります。

相原：基本をしっかりした上で、WAFを導入しましょうというお話は、お客様にもとても納得感を感じていただいています。

今後の協業について

渡辺：「WafCharm」として目指しているのは、アプリケーションに応じて最適なものをお届けする、ということですが、バージョンの違いなどもあってなかなかに難しい面もあります。

相原： わたしたちが開発しているKUSANAGIの統合管理ツール「KUSANAGI Cloud」ではクラウド側とVMのさまざまなデータを収集して、障害の対応や障害の未然防止などをおこなっています。

　WordPressやプラグインのバージョンや利用状況、脆弱性の有無なども取得しているので、「WafCharm」のようなセキュリティツールと連携できたら、より良い価値をお客様に提供できるようになるかもしれないと思いました。

大谷：今はKUSANAGIと「WafCharm」は別のサービスとして連携はしていないですが、連携することで、新しい価値が生まれるかもしれませんね。

---

　いかがでしたでしょうか。パートナーの皆さまとも連携しながら、皆さまにより良い価値を提供できるように頑張っていきたいと考えています。