株式会社A Inc.

業界を襲ったDDoS攻撃で、社内のセキュリティ体制を見直し

はじめに、御社の事業について教えていただけますか？

当社は、誰でも気軽に動画やラジオの生配信ができるライブ配信サービス「ふわっち」を開発・提供しています。2015年のリリース以降、当社は他社サービスに先駆けて「投げ銭」システムを実装し、30〜40代を中心に売上高を着実に伸ばし続けてきました。

開発体制について、これまでの変遷を聞かせていただけますか？

ふわっちの立ち上げ当初は私も含めて数名の限られたメンバーだったこともあり、機能追加や品質改善に開発リソースを注ぐ必要がありました。その後、サービスの成長と共にメンバーも増えていき、2023年にサービス開発体制を強化するため、バックエンドの開発チームをサーバー、インフラ、データ分析、イベントの4つのグループに分割しました。ただ、セキュリティについては各グループを横断的に担当するかたちで、それぞれのグループに所属するメンバーが兼務していました。そのため、何か大きなインシデントに直面するとスピーディーな対応が難しくなると危惧していました。

その懸念が現実のものとなった出来事があったそうですね。

はい。当社の懸念が現実のものとなったのが、2024年2月に発生した複数のライブ配信サービスへのDDoS攻撃でした。ふわっちは大きな被害を受けなかったものの、他社サービスは障害によって配信ができなかったり遅延が発生したり、大きな問題となりました。

ライブ配信サービスを狙い撃ちにした攻撃だったことは明らかだったため、当然ふわっちにも大規模な攻撃がしかけられるリスクがありました。セキュリティ体制が十分とはいえない中、深刻な経営リスクを招かないためにも、早急に体制を見直す必要があったのです。

専任の担当者がいない中、包括的な支援サービスが導入の決め手に

当時、どのような課題を抱えていらっしゃいましたか？

当社が当時抱えていたセキュリティ課題は、3つあります。
1つ目は「セキュリティに対する組織体制」です。セキュリティアラートを収集、分析したり、運用や対処を担ったりするSOCやCSIRTのような組織は未整備でした。

2つ目は「セキュリティ運用負荷の増大」です。バックエンドの開発チームを4つの専門グループに分けたものの、セキュリティ担当者は本来の開発業務をこなしながら対応していたため、業務負担が大きくなっていました。

そして、3つ目は「社内セキュリティ人材の不足」です。DDoS攻撃だけでなく、ランサムウェア攻撃や標的型攻撃など高度なサイバー攻撃に対応するためのセキュリティ意識の醸成と人材育成が必要でした。

セキュリティ対策として、どのような検討をされたのでしょうか？

開発、運用からセキュリティ対応まで自社運用が基本だった当社は、サービスの提供基盤として早くからAWS（Amazon Web Services）を採用しており、AWSが提供するセキュリティサービスを利用してアプリケーションやインフラの保護を行ってきました。

ライブ配信サービスへのDDoS攻撃についてAWSの担当者に相談したところ、まずはサイバーセキュリティクラウドが提供するWAF自動運用サービス「WafCharm（ワフチャーム）」を紹介されました。しかし、WafCharmはAWS WAFの運用を自動化することに特化しているサービスであるため、前述の3つの課題すべてを解消することが難しかったのです。そこで導入検討に挙がったのが、同じサイバーセキュリティクラウドが提供する「CloudFastener（クラウドファスナー）」でした。

AWSの各種セキュリティサービスの管理・運用を、24時間365日、専門家とソフトウェアが包括的にサポートするCloudFastenerなら脅威への対応だけでなく、日々のセキュリティ運用をサポートしていただけるうえ、人材育成でも役立つことが分かりました。専任のセキュリティ担当者がいない我々のような企業にとって、包括的なサービスが受けられることは大きな魅力です。その後、導入運用コストは適切か、長期的に利用することでどんなメリットが得られるかなどを検討して、採用を決めました。

これまでは、サービス開発という本来の業務に集中してきたため、社内にはセキュリティだけを専門にするエンジニアの数は少なく、セキュリティが得意な一部のエンジニアの力を頼ってきました。また、社内に専門的なセキュリティ教育を実施できる人材も少ない状況です。サイバー脅威は日々進化していますから、我々だけで最新情報を収集することは難しい。専門家が教育も含めてサポートいただけることは大きな魅力でした。

セキュリティ専任担当者を担う形で社内の体制見直しに貢献

導入後の効果についてお聞かせください。

2024年7月に導入したCloudFastenerは、すでにさまざまな効果を発揮しています。課題となっていた「セキュリティに対する組織体制」については、権限設定の棚卸しをはじめ、根本的な体制の見直しを急ピッチで進めてきています。

10年近くサービスを運用してきていて、IAMなどの権限設定が複雑化していました。それら権限を棚卸しして再構築していく作業が必要でしたが、開発業務に追われてずっと後回しになっていたんです。権限設定の棚卸しは、非常に地道で泥臭い作業であり後回しになりがちです。それらを我々に代わって丁寧に実施していただいたうえ、継続的に改善する仕組みも整えてくれました。

また、「セキュリティ運用負荷の増大」という課題についても大幅に軽減できています。毎週行われる定例ミーティングにCloudFastenerの専任チームに参加いただき、さまざまなアドバイスをいただいています。例えば、AWS Security Hubのアラート情報の分析やモニタリング、最新の脅威の傾向、どのような脅威にどう対応していけばよいかなどのアドバイスです。トリアージや調査対応も行なっていただけるので、まさに当社のセキュリティ専任担当者を担っていただいている形です。

社内のセキュリティ人材育成面での効果はいかがでしょうか？

日々の運用サポートのなかで実践的なセキュリティ教育を受けています。実はAWSのセキュリティサービスは、これまであまり活用できていませんでした。ツールの使い方からセキュリティ指標の作成、そのための考え方の提示など、日々の運用のなかでさまざまなアドバイスをいただいています。CloudFastenerの専任チームに伴走してもらうことで、社内にセキュリティ意識を醸成し、セキュリティ人材の育成につなげていきたいと考えています。

最後に、今後の展望をお聞かせください。

セキュリティを最初から組み込んだ開発体制を構築できたことは最も大きな成果です。
今後はふわっちだけでなく、新サービスも含め、CloudFastenerによるサポートを得てビジネスを成長させていきたいと考えています。

ありがとうございました。