ファンズ様は、固定利回り※投資の資産運用サービス「Funds(ファンズ)」を運営されている企業様です。この度、WAFの自動運用サービス「WAFエイド」を導入いただきました。今回は、ファンズ株式会社 プロダクト開発本部 堀越貴斗様にWAFエイド導入前の課題・懸念事項や運用開始後の効果についてお話を伺いました。
ファンズ様では、十分な検証期間を設け運用ルールを精査したこと、また、WAFエイドのセキュリティアナリストによる手厚いサポートがあったことで、お客様への影響を心配することなく、安定した運用を実現できているとお話いただきました。
※「固定利回り」とは、ファンドの利回りが募集時に定められていることを意味しており、利回りを確約するものではありません。
手動運用から自動化への課題転換を決めた背景
「WAFエイド」をはじめとするWAFの自動運用サービスを検討するようになったきっかけは、セキュリティ運用体制の見直しを行ったことでした。
当社では、これまでAWS WAFを活用してセキュリティ対策を実施してきましたが、運用面での課題が明らかになってきました。 手動ベースでの運用では、24時間365日の監視体制を維持することが困難であり、潜在的な脅威への対応にタイムラグが発生するリスクがあります。
昨今のサイバー攻撃の高度化・巧妙化を踏まえると、人的リソースに依存した対応では限界があることは明白です。特に、DDoS攻撃やBot攻撃などの大規模な攻撃に対しては、迅速かつ的確な対応が求められますが、手動対応では初動の遅れが懸念されます。 お客様に安心してサービスをご利用いただくためにも、自動化による迅速な脅威対応と運用負荷の軽減が不可欠であると判断しました。より堅牢で効率的なセキュリティ体制の構築すべく、「WAFエイド」の導入を決定しました。
導入前の懸念は「誤検知」と「導入障壁」
「WAFエイド」導入前の懸念としては、主に2点ありました。1点目は、「誤検知」のリスクです。お客様のアクセスを誤って遮断してしまい、サービス利用に支障をきたすのではないかという点について、toCサービスを運用している当社にとってはクリティカルな懸念事項でした。これについては、実際に運用を開始する前に十分なエイジング期間(検証期間)を設けていただき、運用ルールを精査できたことから、お客様への影響を心配することなく、安心して本番運用を開始することができました。
2点目は、導入障壁についてです。WAFエイドの導入にあたり少なからず当社側でも作業を要すると理解していたものの、具体的な作業内容について解像度が低く、複雑度や作業工数が測れずに不安に感じていたところはありました。実際には、WAFエイドのセキュリティアナリストの方々に、セットアップの手順書を用意していただいたり、例外的に発生した事象についてもメールでのサポートをいただけたことで、スムーズに導入を進めることができました。
追加費用なしで選定結果を再利用できる「AWSマネージドルール選定サービス」が大きな魅力
いくつかのWAFの自動運用サービスを比較した結果、最終的に「WAFエイド」に決めた理由も大きく2点あります。1点目は、GMOグループという信頼できる組織が運営されているという点が選定した理由の1つです。セキュリティサービスという性質上、サービスの継続性や信頼性が非常に重要です。この点を踏まえると、GMOグループの組織の規模やこれまでの実績は、長期的な運用においても安心してお任せできると感じました。
2点目は、アプリケーションの実行基盤にAWSを採用している当社において、「AWSマネージドルール選定サービス」の提供を魅力的に感じました。特に、選定結果を他の当社サービスに対して追加費用なしで再利用できる点は、非常に魅力的でした。今後事業が拡大していく中で新たにtoCのサービスを立ち上げる可能性もあり、その際に選定いただいたルールセットを再利用できるというのは、大きなメリットであると考えました。
価格・スムーズな導入・運用サポートの手厚さを高評価
「WAFエイド」を使い始めてからの感想としては、価格・導入・運用サポートの手厚さにとても満足しています。価格については他社と比較しても良心的な価格設定でありつつも、必要十分なサービス提供をしていただいているので満足度は高かったです。
また、繰り返しになりますが、導入に向けて作業の複雑度など不安を感じていたところで、実際には必要な手続きや当社側タスクの作業手順がよくまとまっており、円滑に作業を進行できたのはありがたかったです。
加えて、不明点においてはメールベースでのやりとりでクイックかつ的確に対応いただけたことにはサポートの手厚さを感じました。
今後、生成AIコーディングの品質管理など新たなセキュリティ課題へのソリューションを期待
昨今、証券会社提供のソフトウェアにおいてアカウントが乗っ取られるなどといった事例が頻発していることから、とりわけ認証基盤におけるセキュリティ面では課題感を感じているところです。関連事象に対して効果的なソリューションを提案いただけるのであれば是非検討してみたいとは思っております。
また、現在多くの企業で生成AIの活用が急速に進んでおり、当社でも積極的に利用しているところです。一方で、生成AIの利用におけるセキュリティ課題はもちろんのこと、それ自体が生成したコードベースの品質管理においてはまだ市場で定まったアプローチは存在しないように感じているため、このあたりの課題を解決できるようなサービスの登場を期待したいです。
| 会社名 | ファンズ株式会社 |
| 事業内容 | ・金融商品取引業 ・インターネットによる情報サービス業 |
| URL | https://funds.jp/ |
