特殊な操作や設定なく導入できる
NOと言わないサポートと安心・高セキュリティを軸に、創業来一貫してホスティング事業を展開してきたGMOグローバルサイン・ホールディングス株式会社。より幅広いお客様ニーズに応えるべく、ウェブアプリケーションファイアウォール(WAF)のサービス化を検討した結果、WADAX専用サーバーのオプションとしてホスト型WAF「SiteGuard Server Edition」を採用。
検討の経緯や今後の展望について、代表取締役社長(旧GMOクラウドWEST社当時)の増田義弘氏、情報システム部の堤貴規氏に話を伺った。
安心と安全をお客様へご提供する
Q.御社の事業概要を教えてください。
「レンタルサーバーのWADAXとして、ホスティング事業を展開しております。NO!と言わないサポートと安心・高セキュリティを軸にサービスをご提供させていただいております。特にセキュリティについては、『安心と安全を取り入れたサービスを提供する』という経営理念から、ホスティング業界としては初めて、IPSやDoS/DDoS等の攻撃防御機能を標準サービスとしてご提供しております。サービス開始以来、累計4万を超える法人・個人のお客様にサービスをご利用いただいております。」
Q.サポート面のお取り組みについて、少し具体的に教えてください。
「例えば障害対応があります。あってはならないことですが、障害発生の際には能動的に動き、お客様のサービスの復旧を最優先に対応をさせていただくよう心がけております。」
WAFをウェブサーバーにインストール
Q.WAFのサービス化を検討されるきっかけは何だったのでしょうか?
「専用サーバーのお客様は、ECサイトの運営をされている方や官公庁関係などセキュリティを重視される方が多くいらっしゃいます。我々ホスティング事業者はインフラ部分やOSの運用をさせていただいておりますが、アプリケーション等『上もの』はお客様自身の管理となっております。アプリケーションの脆弱性に対応し、包括的なセキュリティ強化を提供させていただきたいという思いからWAFの導入を検討いたしました。
技術・運用セクションのほうで、WAFをウェブサーバーにインストールして防御するSiteGuard Server Editionは、専用サーバーのサービスとも相性がいいのではないかと考え、お声がけをさせていただいたという経緯です。」
Q.標準提供のIPSに加え、今回追加でWAFサービスを提供された理由をお聞かせください。
「標準提供しているIPSではお客様個別の細かなポリシー設定には限界があります。また弊社標準のIPSをお客様に権限委譲して管理いただくといったサービスは行っておりません。よりお客様のニーズを捉え、お客様自身で『管理したい』という声にお応えしたいという中でWAFのサービス提供に至りました。」
決め手は、機能と操作性、そしてコスト
Q.SiteGuard Server Editionを採用されたポイントはどのような点でしょうか?
「まずは、Apacheのモジュールとして動くという点です。弊社はLinux標準のレンタルサーバーということもあり、特殊な操作や設定なく導入できる点がポイントでした。また、 ウェブ管理画面があり、わかりやく簡単に設定できました。そこに加えコスト面も理由の一つ。SiteGuard Server Editionであれば、他社のアプライアンス製品に劣らない機能と操作性があり、なおかつコストを低く抑えられました。そこが最終的にSiteGuard Server Editionを採用する決め手となりました。
国産という点もポイントとしてありました。もちろん、優れたセキュリティソフトはたくさんあります。特に海外製品が多い中で、サポート体制やレスポンスの部分で不安があります。SiteGuard Server Editionであれば、国産・サポート・安心感という点でお客様に自信を持ってご提供できるのではないかと考えました。」
Q.お客様のご利用状況はいかがでしょうか?
「管理権限をお渡ししており、基本的に自由にお使いいただいています。導入前は『どういうものですか?』といった問い合わせもありましたが、導入後はまだ問い合わせがありません(笑)。つまり、簡単に操作ができ、目立った問題がないと感じています。
お客様の利用の検討のきっかけとしては、実際にインシデントが発生されたというものでした。そういう意味では、結果的にマッチする提案になったのかもしれません。」
もっと、セキュリティ対策の重要性を
Q.サービスリリースが一段落した今、課題とお考えの点はありますでしょうか?
「正直、WAFがさほど認知されていないという点だと思います。
セキュリティインシデントを被ったお客様でないと、なかなか対策しようという気にはならないと思います。例えば、お客様によっては『ファイアウォールを置いてるから大丈夫』とおっしゃる方もいらっしゃいます。やはり、そういう考えがあるのだと思います。
契約まで至らずとも興味をもっていただいているお客様は多いと感じております。そこから次のステップに移るには何かのきっかけや意識付けが必要なのかもしれません。例えばパソコンでアンチウイルスソフトを入れるかどうかと同じようなことではないかと感じています。ご存知ない方は、サポート期限切れのまま使い続けることがあると思います。同様にECサイトのお客様でも、システム開発が終わり保守契約も終わった段階でそのままになっているというケースです。日頃の意識付けや危機意識が導入へのきっかけ作りに必要と感じます。」
Q.最後に、今後の展望をお聞かせください。
「IPSやDoS/DDoS防御機能で、いわゆるインフラ部分のセキュリティ対策は標準でご提供させていただいております。今回のWAFはオプションサービスになりますので、コストメリットを追求していかなければなりません。あとは、先ほどから申し上げている通り、お客様に広く知っていただくことです。セキュリティ業界全体の話かもしれませんが、どこまで必要性、重要性をお伝えできるかが課題だと思います。いくら我々が『素晴らしい製品です』とお伝えしたところで、それに見合うコストと必要性がマッチしないと『必要です』とはなりません。
そういう意味で、セキュリティサービスに限らず、我々インフラを支える事業者としては、そういうところも啓蒙活動していかなければならないと考えています。」
どうもありがとうございました。