TM マキシム cs6 - Trend Micro2017/07/11 · CUSTOMER SUCCESS STORY 導入事例...
Transcript of TM マキシム cs6 - Trend Micro2017/07/11 · CUSTOMER SUCCESS STORY 導入事例...
-
CUSTOMER SUCCESS STORY導入事例
株式会社マキシム
Webサイトhttp://www.maxim-jp.net/
地域兵庫県、日本
業種小売業
従業員55名
導入製品・ソリューション• Trend Micro Deep Security™
利用環境• アマゾン ウェブ サービス
導入効果• Trend Micro Deep Security™とAWS WAFを組み合わせて利用することで、ECサイトの継続性をより高めることができた
• トレンドマイクロがGitHubで提供するAWS WAF連携用のツールを利用し、AWS WAFの設定工数を約 1 / 10に削減できた
• 不正プログラム対策やIDS/IPS、システム変更監視、ログ監視機能を活用することで、サーバセキュリティを強化できた
導入の背景 兵庫県・神戸市に本社を置き、女性向けファッション通販サイト「神戸レタス」の運営を手がけるマキシム。雑誌掲載商品や有名ブランドの人気アイテムなど、多彩な商品で数多くのファンを獲得し、右肩上がりの成長を続けている。 「お客様にショッピングやファッションを楽しんでいただくため、トレンドを先取りした商品の拡充、サービスの使い勝手の向上などに積極的に取り組んでいます」と話すのはマキシムの田中 悠路氏である。しかし、解決しておきたい課題もあった。ECサイトの継続性に関する問題だ。
お客様の課題 同社は、ECサイトをアマゾン ウェブ サービス(以下、AWS)上に構築しているが、サイトの安全性を強化するためクラウド型のWAFを併せて利用している。 「『出入り口で通信を見張る』という特性上、WAFは停止してしまうとECサイト自体には問題がなくても、まったくアクセスできなくなってしまいます。従来は、クラウド型WAFだけのシングル構成となっており、トラブルが発生すると、そのままサービス停止につながるリスクがありました」とマキシムのITパートナーであるクラスメソッドの森永 大志氏は言う。 実際、過去にクラウド型WAFの障害によって、一時的にECサイトがつながらなくなったことがあったという。 「幸い短時間で復旧し、損害は軽微でしたが、いつまた同様の事態が起きるか分かりません。例えば、タイムセールを告知しておきながら、その時間帯に障害が発生してしまったら、お客様からの信用を失ってしまいます」と田中氏は話す。 そこで、同社が着手したのがWAFの冗長化に向けた取り組みだ。既存のクラウド型WAFに加え、待機系のWAFを実装し、確実にサービスを継続できる体制を目指したのである。
選定理由 WAFの冗長化にあたっては、現行の運用プロセスをできるだけ変えないといった要件のもと、AWSのサービスである「AWS WAF」とトレンドマイクロの「Trend Micro Deep Security™(以下、Deep Security)」を組み合わせて利用することにした。 「WAFを追加するだけなら、AWS WAF単体でもよいのですが、Deep Securityと併せて利用する
連携ツールを活用しAWS WAFを効率的に実装ECサイトの継続性を強化
「Trend Micro Deep Security™」とAWS WAFでWAFを冗長化。ECサイトの継続性を高めることができたうえ、WAFの設定、運用管理も効率化できた
AfterAWS上で構築した通販サイトのWAF(Web Application Firewall)がシングル構成となっており、トラブルが発生するとサイトにアクセスできなくなるリスクがあった
Before
-
ことで、より安全性を高められ、運用も効率的に行えることから採用を決めました」と森永氏は話す。 また、Deep SecurityがWAFの強化と効率的な実装に貢献できるだけでなく、不正プログラム対策やIDS/IPS、システム変更監視、セキュリティログ監視など、サーバ保護のための機能を統合的に備えており、サーバセキュリティの強化につながることも選定を後押しした。
ソリューション トレンドマイクロの技術者たちは、自社製品と他社の製品やサービスを効率的にAPI連携させるためのツールを開発し、システム開発を支援する共有Webサービス「GitHub」上でオープンソースとして公開している※。※ GitHub上のツールは、公式サポートの対象外となります。 その中の 1つに、Deep SecurityとAWS WAFとを連携させるツールがある。このツールを利用すれば、Deep Securityで適用しているサーバに存在する脆弱性を確認し、ルールの作成、適用を行うことができる。 例えば、Deep Securityには、保護対象となっているサーバを検索し、様々なセキュリティルールの適用または適用解除を推奨してくれる推奨設定検索機能がある。これをもとに、脆弱性保護のルールを作成、適用することも可能だ。 「つまり、 1からセキュリティルールを作成するという工数をかけることなく、トレンドマイクロの豊富な知見をもとにした最適なルールをWAFに設定できるのです。しかも、連携ツールはオープンソースですから技術者と直接コミュニケーションを取って、改修などを依頼することもできます。私自身も様々な依頼をしました。我々システムインテグレーターにとっては、非常にありがたい取り組みです」と森永氏は話す。 GitHub上では、AWS WAF連携ツール以外にも、プッシュ方式のメッセージ送信サービスであるAmazon Simple Notification Service (SNS) や、アプリケーションの脆弱性を自動評価するAmazon InspectorなどとDeep Securityを連携させるツールも公開されている。森永氏は、これらのツールにも期待を寄せる。 「各ツールを効果的に組み合わせて利用することで、Deep Securityのインシデント検知ログをきっかけにAWSの各サービスを動的に対応させるなど、セキュリティの自動化に向けた動きが加速するのではないかと感じています」(森永氏)
導入効果 Deep Security とAWS WAFによって、マキシムはECサイトの継続性を強化することに成功した。 「稼働系であるクラウド型WAFにトラブルが発生すれば、自動的に待機系WAFに切り替わり、サービスを継続できます。以前のような不安はなくなり、安心感が高まりました」と田中氏は語る。 当初に見込んだ通り、Deep Securityを併用したことでAWS WAFの運用管理も効率化できた。「Deep Securityを通じて、サーバの状況に応じた設定を容易に行うことができました。仮に同じ作業をすべて人手で行ったとしたら 10倍以上の工数がかかっていたと思います」と森永氏は言う。 もちろん、Deep Securityの本来の用途であるサーバ保護によって、ECサイト全体のセキュリティを強化できた点も大きな成果である。 「ファイルのやり取りなどがないECサイトはWAFだけで十分という考え方もありますが、その状態で仮にWAFを突破されると、サーバ側で大きな被害が発生するリスクがあります。今回、Deep Securityでサーバを保護し、サイト全体で被害を抑止する多重防御が実現したことは、継続性に加えて、情報保護という観点での安心感につながっています」(田中氏)
今後の展望 このようにDeep Securityを利用することで、同社は効率的にECサイトの可用性と安全性を高めることに成功した。「事業の根幹であるECサイトを止めないことはもちろん、個人情報や決済情報を扱うEC事業者にとってセキュリティは、非常に重要なテーマとなります。今後も先手を打って、安全性の強化に継続的に取り組んでいかなければならないと考えています」と田中氏は最後に抱負を述べた。
導入製品詳細詳細については、下記にアクセスしてください www.go-tm.jp/tmds
「Trend Micro Deep Security™ とAWS WAFによってサイトの継続性と安全性に関わる課題を解消。お客様に快適に買い物を楽しんでいただける環境が実現しました」
田中 悠路 氏株式会社マキシムサービス開発部マネージャー
「Trend Micro Deep Security™は、サーバセキュリティを強化するうえで非常に有効ですが、AWS WAFの効率的な設定、運用管理においても大いに力を発揮してくれました」
森永 大志 氏クラスメソッド株式会社AWSコンサルティング部ソリューションアーキテクト
TREND MICRO、Trend Micro Deep Security、および Deep Securityは、トレンドマイクロ株式会社の登録商標です。アマゾン ウェブ サービス、AWS、AWS WAF、Amazon Simple Notification ServiceおよびAmazon Inspectorは、Amazon com, Inc.またはその関連会社の商標です。本ドキュメントに記載されている社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2016年8月現在のものです。内容は予告なく変更になる場合がございます。Copyright © 2016 Trend Micro Incorporated. All rights reserved.[Item No. BR-CASE-156]
東京本社 〒151-0053 東京都渋谷区代々木2-1-1 新宿マインズタワーTEL.03-5334-3601(法人お問い合わせ窓口) FAX.03-5334-3639名古屋営業所 〒460-0002 愛知県名古屋市中区丸の内3-22-24 名古屋桜通ビル7階TEL.052-955-1221 FAX.052-963-6332大阪営業所 〒532-0003 大阪府大阪市淀川区宮原3-4-30 ニッセイ新大阪ビル13階TEL.06-6350-0330(代表) FAX.06-6350-0591福岡営業所 〒812-0011 福岡県福岡市博多区博多駅前2-3-7 シティ21ビル7階TEL.092-471-0562 FAX.092-471-0563
Page 2 of 2 • Customer Success Story • 株式会社マキシム
www.trendmicro.comトレンドマイクロ株式会社
利用者
WAF製品
AWS
AWS WAF Lambda(コード実行)
Elastic Load Balancing
WebTrend Micro Deep Security™ Trend Micro Deep Security™Web
AWS cloud
CloudFront
AWSを活用している神戸レタスのサービス構成