大日本印刷株式会社
1876年10月創業。世界最大級の総合印刷会社であり、情報コミュニケーション、容器・包装資材、エレクトロニクス、清涼飲料等、多岐にわたる事業を展開している。2001年3月には電子書籍配信サイト「ウェブの書斎」を開始し、2010年11月に「honto」へと拡充、2011年1月にグループ会社である株式会社トゥ・ディファクトへと運営を移管した。そのシステムの開発・運用は現在も、大日本印刷株式会社が担当している。
PRODUCTS
メリット
すでに運用していたBIG-IPLTMにASMをアドオンすることで機器を統合でき、運用負担増大を回避できた。
ブロッキングモードで運用することで、年間100万件を超えるアプリケーション攻撃を確実に防御できるようになった。
セキュリティをASMに任せることで、アプリケーションテストの負担も軽減した。
課題
hontoは大日本印刷株式会社が運営する中では最大規模のB2Cビジネスであり、外部からの攻撃が桁違いに多くなると想定された。
アプリケーション攻撃を防ぐためWAFの導入を検討したが、独立したアプライアンスでは運用負担が増大すると考えられた。
ハイブリッド型総合書店「honto」のセキュリティをBIG-IP ASMで確保、年間100万件を超える攻撃からアプリケーションを防御
紙の本の通販と電子書籍を組み合わせたハイブリッド型総合書店「honto(https://honto.jp/)」。そのシステム開発・運用を担当する大日本印刷株式会社hontoビジネス本部では、アプリケーション攻撃からの防御にBIG-IPASMを活用している。このサイトを狙ったアプリケーション攻撃は年間100万件を超えているが、ASMをブロッキングモードで運用することで、これらをすべて防いでいるのだ。またセキュリティ機能をASMに任せることで、アプリケーションテストの負担も軽減。今後もBIG-IPを活用しながら、さらなるセキュリティ強化を目指していくという。
hontoは大日本印刷株式会社が運営する中では最大規模のB2Cビジネスです。そのため他のシステムに比べ、外部から攻撃される危険性が桁違いに高くなると想定していました
背景
「読みたい本を、読みたい時に、読みたい形で」というキャッチフレーズを掲げ、紙の本と電子書籍を組み合わせたハイブリッド型総合書店を展開する「honto」。このサービスは大日本印刷株式会社のグループ会社である株式会社トゥ・ディファクトが運営しており、丸善やジュンク堂書店、文教堂といった大型書店とも連携している。またこのサイトの中にはブックキュレーターも存在し、機械的なレコメンデーションではなく、本を薦めるプロが利用者の気分や関心に合わせて「本との出会い」を提案。全国で使える「hontoポイント」や、PCやスマートフォンで電子書籍を手軽に読める「hontoビューアアプリ」等も提供しており、読書を身近なものにしている。
そのシステムの開発・運用を担当しているのが、大日本印刷株式会社 hontoビジネス本部だ。hontoは、大日本印刷株式会社が運営していた「honto」と、図書館流通センターが運営していた「ビーケーワン(bk1)」を2012年に統合し誕生したが、このときにシステム全体を見直し、すべて再構築しているのである。
外部からのアプリケーション攻撃は年間100万件を超えています。しかしブロッキングモードを有効にして以来、アプリケーション攻撃がセキュリティ上の問題に発展したことはありません
ビジネス上の課題
「hontoは大日本印刷株式会社が運営する中では最大規模のB2Cビジネスです」と語るのは、大日本印刷株式会社hontoビジネス本部プラットフォーム開発ユニット基盤運用部部長の和田希代志氏。そのため社内で運用している他のシステムに比べ、外部から攻撃される危険性が桁違いに高くなると、当初から想定していたという。「攻撃によって個人情報が流出してしまえば、当社にとって致命傷になりかねません。そのためそれまで以上に、高いセキュリティを確保する必要があると考えていました」。
外部からの攻撃の中でも、特に情報流出に直結しやすいのが、アプリケーションに対する攻撃である。例えばSQLインジェクションを仕掛けられてデータベースへのアクセスを許してしまえば、大規模な情報流出が発生する可能性がある。このようなリスクを回避するため、同社はシステム再構築の際にWAFの導入を検討。すでにロードバランサとしてBIG-IPLTMを活用していたが、当初はこれとは別の専用アプライアンスや、SaaS型のWAFサービスの導入を検討していたと振り返る。
「しかし使用するアプライアンスやサービスが増えることで、運用管理の負担も増大してしまいます。また当時はWAFが登場したばかりの時期であり、十分な処理能力を確保できるのかという不安もありました」。
ソリューション
これらの問題を解決するために選択されたのが、BIG-IP ASMの導入だった。採用理由は大きく3つあったと和田氏は説明する。第1は、当時のWAFの中でも最もメジャーな製品だったこと。第2は、すべてのパケットを通過させるためにインライン構成を取った場合でも、十分な処理能力を確保できること。そして第3が、すでに運用されていたBIG-IPのアドオンとして導入でき、ロードバランサとの統合管理が可能なことだ。「これなら運用負荷も小さくなり、限られた人的リソースで対応できると評価しました」。
2012年5月にはBIG-IP ASMの導入を実施。最初の1年余りはロギングモード(透過モード)で運用していたが、2013年7月にはブロッキングモードでの運用を開始する。
導入から5年後には機器更新を行っているが、ロードバランサとWAFは継続してBIG-IPを採用。2017年9月に機器の切り替えを行い、攻撃検知のためのシグネチャの拡充、設定内容に対するチューニングも行っている。
アプリケーション攻撃の防御をBIG-IP ASMに任せることで、アプリケーション開発の負担も軽減しています。これによってより短期間で、アプリケーションをリリースできるようになりました
メリット
■ 年間100万件を超える攻撃を完全にブロック
当初の想定通り、hontoは膨大な数の攻撃を受けている。「アプリケーション攻撃は月平均で3~5万件、多い月には50万件に達することもあり、年間合計では100万件を超えています」と語るのは、大日本印刷株式会社hontoビジネス本部プラットフォーム開発ユニット基盤運用部の佐々木伸淳氏。しかしこれらはすべて、BIG-IPASMのWAF機能によってブロックできているという。「ブロッキングモードを有効にして以来、アプリケーション攻撃がセキュリティ上の問題に発展したことはありません。これなら安心して運用できます」
■ アプリケーション開発の負担も軽減
ロードバランサとWAFを統合したことで、機器運用の負担増大も回避できた。その一方で「アプリケーション開発の負担軽減にも役立っています」と指摘するのは、大日本印刷株式会社hontoビジネス本部プラットフォーム開発ユニット開発第一部部長の伊藤昌博氏だ。アプリケーション攻撃の防御を、BIG-IPASMに任せられるようになったからだという。「これによってより短期間で、アプリケーションをリリースできるようになりました」
■ 東京五輪開催の2020年に向けセキュリティをさらに強化
現在WAFを活用しているのはhontoのみだが、今後は他のシステムへの適用も視野に入っている。「この5年間で攻撃手法が多様化してきましたが、この傾向はこれからも続くと考えています」と和田氏。F5ならこれらへの迅速な対応が可能だと期待しており、今後はできるだけBIG-IPの存在を前提にシステム構築を行いたいという。「これまでの実績から、BIG-IPASMは十分信頼できるWAFだと評価しています。東京五輪が開催される2020年には攻撃はさらに激しくなると予想していますが、BIG-IPを活用しながらさらにセキュリティを強化していきます」
