Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

株式会社キャリアデザインセンター様

株式会社キャリアデザインセンター様

ソフトウェア型のWebアプリケーションファイアウォールが
求職者の個人情報を扱う
キャリア転職の専門情報サイト「@type」のセキュリティを強化

業種その他業種業務その他業務
製品セキュリティソリューション・サービスセキュリティソリューション

株式会社キャリアデザインセンター様は、中核事業であるキャリア転職の専門情報サイト「@type」を支えるWebシステムのセキュリティ対策強化に着手。オンプレミス環境からアマゾン ウェブ サービス (以下、AWS)を利用したシステムへの切り替えを実施し、Webアプリケーション層への攻撃対策として、NECのソフトウェア型Webアプリケーションファイアウォール(WAF)『InfoCage SiteShell』を導入しました。『InfoCage SiteShell』で攻撃の実態が定量的に把握できるようになるとともに、攻撃手法に適した防御も実施されています。

導入前の課題

従来のセキュリティ対策では攻撃の実態が把握できていなかった

株式会社キャリアデザインセンター様(以下、キャリアデザインセンター様)は、「いい仕事・いい人生。」を企業理念に企業と求職者の最適なマッチングなど、転職に関するサポートサービスを多面的に展開している会社です。
求職者の職務経歴書、顧客企業とのやりとりの履歴など、きわめて重要な個人情報を扱っていることから「Webシステムのセキュリティは、当社にとって大きなリスク要因です」と、 キャリアデザインセンター メディアシステム部 メディアシステム課 波形孝氏は強調します。
2013年7月、利用者向けの機能・サービスを向上させるために、同社は「@type」のリニューアルに着手しました。「このリニューアルを機に、Webシステムの安定化とセキュリティ対策の強化にも取り組むことにしました。まず、今後の拡張性や開発効率を考慮して、AWS (*1)の利用を決定しました。Webシステムの運用体制も見直し、外部委託を廃止して自社運用に切り替えました。とりわけセキュリティ対策については、社内にプロジェクトチームを立ち上げて策を練り、その中でWebアプリケーション層への攻撃対策として、WAFの導入を決定したのです」(波形氏)。

(*1)企業や組織のより迅速な行動、IT コスト削減、アプリケーション拡張を実現するために役立つ、幅広いクラウドグローバルコンピューティング、ストレージ、データベース、分析ツール、アプリケーション、デプロイサービスを提供。

導入の経緯

「導入と運用のしやすさ」や国内WAFベンダで唯一の「AWS正式対応製品である」ことを評価

WAF製品の比較検討にあたってキャリアデザインセンター様では、AWS上でのサポートを提供しているWAF製品をすべて精査しています。「まず、オープンソースソフトウェアのWAFについては、導入後も常に新たな攻撃に追随するための設定が必要となることから、とても自社では運用できないと判断しました。商用製品の中から候補を絞り込み、とりわけNECの『InfoCage SiteShell』に、強い関心を持ちました」(波形氏)。その理由として、「サーバにインストールするソフトウェア型製品であり、すべての防御設定やログ管理を自社でハンドリングできる点に魅力を感じました。また、NECのハンズオンセミナーを受講した際、導入が容易であることがよくわかり、GUIによる運用イメージがリアルに実感できたことも、大きなポイントでした」と波形氏は語ります。
同社のWebシステムとアプリケーション開発を支援しているレプラホーン株式会社 部長の中村真氏は、選定理由について次のように話します。「SaaS型のWAFサービスも検討していたのですが、万が一WAFの設定不備で障害が起きてしまうと、柔軟に設定変更はできず、広範囲にサービス停止となってしまうことがネックでした。一方、『InfoCage SiteShell』はサーバごとにインストールし、サーバ単位にきめ細かく設定をすることができるため、もしWAFの設定不備で障害が発生しても、サービス停止のリスクを抑えられることが、ひとつの決め手になりました」
このほか、導入時のネットワーク設定変更や運用フェーズでのホワイトリスト設定(*2)も不要であり、対策コストをトータルで削減することができる点、国内WAFベンダで唯一、AWSに正式対応している点、AWSのAuto Scaling機能(*3)に対応している点などが、同社から高く評価されました。

(*2)WAFを通過させるリクエスト/レスポンスのパターン設定のこと。URLごとに、パラメータの入力文字種別、文字数、最大値、最小値などを設定する必要があり、運用の難易度が高い。

(*3)Auto Scaling とは、あらかじめ定義された条件に従って Amazon EC2 のキャパシティを自動的に拡大または縮小する機能。運用工数とコストの両方を抑制できる。

AWSを利用した柔軟性と拡張性を備えたITインフラでサイトを運用。 Webサーバ群には『InfoCage SiteShell』を適用

キャリアデザインセンター様の中核事業である「@type」は、約180万人の会員(=求職者)と多くの顧客企業が利用しており、月間ユニークユーザ数は150万人に上ります。2014年8月より、AWSを利用した柔軟性と拡張性を備えたITインフラでの運用がスタートしており、『InfoCage SiteShell』がこのサイトを支えるサーバ群に適用されています。加えて、顧客ユーザと求職者とのやりとりを管理するWebサーバにも『InfoCage SiteShell』が活用されています。なお、管理コンソールは、さほど大きな負荷がかからない既存のサーバに設置されています。

キャリアデザインセンター様のWebシステムのイメージ図キャリアデザインセンター様のWebシステムのイメージ図
AWS、および『InfoCage SiteShell』を活用し、アプリケーション層のセキュリティと運用の安定性、可用性が確保されている。

導入後の成果

攻撃の実態は日次で定量的に把握。新しい脆弱性の暫定対処も容易

『InfoCage SiteShell』導入後の顕著な効果として、Webシステムへの攻撃の実態が日次で定量的に把握できるようになったことが挙げられます。2014年8月には、SQLインジェクションによる攻撃が流行。多数の攻撃を検知しており、攻撃手法に適した防御も適宜実施しています。「確実に攻撃をブロックできていますから、導入して本当によかったと思います」と波形氏、さらに中村氏も「これだけの攻撃を実際に受けているのだという事実が明らかになったことで、運用メンバーの意識は高まっています」と語ります。

円グラフ:実際に受けた攻撃の種類と件数実際に受けた攻撃の種類と件数 (2014年8月17日~8月21日)

また、『InfoCage SiteShell』の導入が、Webシステムのパフォーマンスにさほど影響しないことも、同社は高く評価しています。「現状のAWSのインスタンス(仮想サーバ)はm3.mediumという小~中規模タイプを利用していますが、『InfoCage SiteShell』を導入後も問題なく運用できています」(波形氏)。
波形氏は、今後アプリケーションの改修を実施していく際のメリットについても言及します。「現在の環境なら、Webシステムの新しい脆弱性があらわになったとしても、WAFでブロックできることで、暫定的な対処が容易にできます。そして、その後のアプリケーション改修に活かせると予想しています」

他のWebシステムについても『InfoCage SiteShell』の導入を検討

中村氏は「Webアプリケーション開発に強みを持つ当社のようなSIベンダの立場から見ても、WAF製品は今後の情報セキュリティ対策において、きわめて重要なツールだということを強く認識しました」と話します。一方、波形氏は今後の展望について、「WAFの活用を継続しつつ、アプリケーション開発においてもセキュリティを十分に考慮して取り組み、安全かつ安定したサイト運営を継続していきたい」と語ります。
同社は、今後も引き続きセキュリティ対策強化に着手していく予定です。

NEC担当スタッフの声

クラウド環境へ移行されるお客様への効果的な提案を実践していく

NECソリューションイノベータ プラットフォーム第二事業本部 第四ソフトウェア事業部 主任 下田 仁史NECソリューションイノベータ
プラットフォーム第二事業本部
第四ソフトウェア事業部
主任 下田 仁史

2008年からWAF製品の販売促進を担当し、既に数百社のお客様へ提案をしてまいりました。特にこの数年は、WAFに求められる要件は大きく変化しています。具体的には、キャリアデザインセンター様のように、クラウド環境にWebシステムを移行されるお客様が多く、セキュリティ製品としてもクラウド環境への対応が求められます。ソフトウェア型のWAFである『InfoCage SiteShell』は、アプライアンス型WAFやSaaS型 WAFサービスでは難しい、クラウド環境での柔軟な運用が可能です。この点をご評価いただいたことはうれしい限りです。今後もオンプレミス環境からクラウド環境への移行を検討されているお客様に対しては、『InfoCage SiteShell』による効果的な提案を行っていきます。

お客様プロフィール

株式会社キャリアデザインセンター

所在地 〒107-0052
東京都港区赤坂3-21-20 赤坂ロングビーチビル
設立 平成5年7月8日
資本金 5億5,866万円
従業員数 369名(平成26年9月30日時点)
概要 「いい仕事・いい人生。」を企業理念に企業と求職者の最適なマッチングなど、 転職に関するサポートサービスを多面的に展開している会社
URL http://cdc.type.jp/
株式会社キャリアデザインセンター 様 株式会社キャリアデザインセンター 様

※アマゾン ウェブ サービス、Amazon Web Services、AWS, およびAmazon Web Serviceロゴは、Amazon.com, Inc.またはその関連会社の商標です。

(2014年12月10日)

共有する: