株式会社 フルキャストホールディングス
1990年9月に株式会社リゾートワールドとして設立。1992年9月に株式会社フルキャストへと商号を変更、2008年10月の純粋持株会社体制導入に伴い、株式会社フルキャストホールディングとなる。株式会社フルキャストや株式会社トップスポット、株式会社おてつだいネットワークス等のグループ企業を通じて、顧客の案件に応じてカスタマイズされた人材サービスを行う「短期業務支援事業」を展開。コンプライアンスもしっかりと徹底しながら、短期人材サービスのリーディングカンパニーとして、業界を牽引し続けている。
PRODUCTS
メリット
BIG-IP ASMでWAFを構成することで、Webサイトに対する外部からの アクセスパターンが可視化でき、XSS 等への対応も迅速化できた。
すでに導入していたBIG-IPにライセンスを追加することで、他社クラウド サービスに比べて導入・運用コストを抑えることができた。
F5のプロフェショナルサービスを活用することで、導入だけではなく運用に必要な技術移転も円滑に行えた。
課題
マイナンバー収集・代行ビジネス立ち上げに伴うセキュリティ向上
導入、運用コストの抑制
マイナンバー収集・管理代行ビジネス立ち上げのためBIG-IP ASMでレイヤ7のセキュリティを確保 他社クラウドサービスよりも安価なWAF導入を実現
登録しているスタッフが仕事を検索したり、応募の為に活用するポータルサイト「キャストポータル」を運営し、1日に1万人を超える人材と仕事のマッチングを行っているフルキャスト グループ。短期人材紹介だけでなく、短期雇用に伴って発生する日々の勤怠管理や給与計算の業務を代行する給与計算代行サービスも提供している。最近ではその実績を活かし、新たにマイナンバー収集・代行ビジネスも立ち上げ、多くの企業に対して業務支援を行っている。そこで同社はサイトのセキュリティをさらに強化するため、WAFの導入に着手。他社クラウドサービスも含めて検討した結果、最終的にBIG-IP ASMの採用を決定した。最大の理由は低コストで導入・運用できること。導入にあたって活用されたF5のプロフェッショナル サービスもクオリティも高く評価されている。
XSSを仕掛けようとするアクセスも発見しましたが、BIG-IP ASMのシグネチャをチューニングすることで防御しました。Webアプリ側で行うよりも迅速な対応が可能です
従来の課題
近年では景気回復による人材不足が加速している。また少子高齢化や就業人口の減少傾向も、この問題に拍車をかけている。このような状況の中、利便性の高いサービスによって、短期雇用への根強いニーズに対応し続けているのがフルキャストグループだ。全国に拠点を持ち、企業の多様なニーズに対応するサービスを提供している株式会社フルキャスト、首都圏と関西圏に特化したよりきめ細かいサービスを提供する株式会社トップスポットがあり、それぞれの会社に登録しているスタッフが職種や場所、日時などの希望を登録することで仕事が紹介され、勤務実績や給与明細の確認なども行える「キャストポータル」を運営し、1日に1万人を超える人材と仕事のマッチングを行っている。
「これらのサイト運営を安全に行うため、これまでセキュリティ機能を継続的に強化し続けてきました」と語るのは、株式会社 フルキャストホールディングス 情報システム部 担当部長の日向野 渉氏だ。多数のアクセスを安定的に処理するため、2014年9月にはBIG-IP 2000sを冗長構成で導入、BIG-IP Local Traffic Manager(以下 BIG-IP LTM)の機能を活用し、複数のWebサーバへの負荷分散も行っていると言う。なおBIG-IP 2000sとBIG-IP LTMは、社内で使用する仮想デスクトップ環境でも、2015年4月に導入されている。さらに、膨大な数の給与計算代行を請け負ってきた実績を活かし、マイナンバー収集・管理代行のビジネスも立ち上げている。
「マイナンバーの管理を行っていることが知られれば、不正アクセス等を受けるリスクはさらに高まるはずです」と日向野氏。それまでのネットワーク構成でも問題は発生していなかったが、新ビジネスの立ち上げに合わせ、さらに強固なセキュリティを確保すべきだと判断したと言う。
ソリューション
ここで日向野氏が着目したのが、Web Application Firewall(WAF)の活用である。すでにレイヤ2~3のセキュリティ機能は実装し、ネットワークやWebアプリケーションレイヤの脆弱性診断、検査も定期的に実施していたが、さらにアプリケーション レイヤの新たな攻撃に対し迅速に対応が必要になると考えた。WAFであれば、クロスサイト スクリプティング(XSS)や、レイヤ7への複雑なDDoS攻撃はもとより細かなチューニングやシグネチャの更新で新たな様々な攻撃を防御しやすくなるからだ。
WAFの実現方法としてはまず、F5以外のクラウドWAFを検討。実際に発注をかけるところまでいったが、その直後に解約することになったと振り返る。理由はクラウドWAFで使用するSSL証明書は、クラウドWAF側で冗長構成を取るため従来の2倍の数の証明書が必要になり、そのコストが予想以上に高かったからだと言う。「証明書のコストはクラウドWAF全体の約半分を占めていました」。さらにサイト追加やトラフィック増加に伴いコストが上がっていく事も懸念点でした。
次に検討したのがBIG-IP Application Security Manager(BIG-IP ASM)だった。監視業務をDell SecureWorksにアウトソースすることを前提に、クラウドWAFとのコスト比較を実施。その結果、コストを大幅に削減できることが判明、ASMの採用が決定するのである。
メリット
■ 知識が豊富で対応も丁寧なF5の導入支援を活用
ASMの導入にあたっては、F5のプロフェッショナル サービス(導入支援サービス)を活用。その理由は、開発メーカーならではの知識やスキルを活用することで導入期間を大幅に短縮でき、他社のサービスに比べてコストパフォーマンスが高いからだと、日向野氏は説明する。
「ASMの各アラートがどのような意味を持つのかの説明も丁寧で、こちらから持ちかけた相談にも快く対応してくれました。また導入完了後は設定方法に関する簡易マニュアルも作成し提供していただきました。監視とレポートはDell SecureWorksに任せていますが、設定変更は自社内で行っているので、このような対応は大変助かりました」(日向野氏)
■ アクセス パターンを可視化、XSS 等への対応も容易に
BIG-IP ASMの運用を開始したのは2015年10月。取材時点ではまだ2ヶ月しか経過していなかったが、これまで見えていなかったことが把握できるようになった。また攻撃への対応も迅速化されている。
「私どもはグローバル展開を行っていないにも関わらず、海外から様々なアクセスがあることがわかりました。その中にはXSSを仕掛けようとするものもあったため、BIG-IP ASMのシグネチャをチューニングすることで防御しました。Webアプリ側で対応するのは開発チームとのやり取りが必要で時間がかかりますが、BIG-IP ASMのシグニチャ変更ならすぐに実施できます」(日向野氏)。
■ 外部からの攻撃に対する抑止力になることにも期待
最近は中小企業が狙われるケースが多いといった記事を見ます。攻撃者としてはセキュリティ対策を十分に行っている大企業よりも対策が甘い中小企業のほうが攻撃しやすいということは言えるかと思います。BIG-IP ASMによるセキュリティ強化が、「弊社への攻撃は難しい」という心理的な牽制をもたらし、抑止力につながることも期待していると日向野氏は言う。今後はSSLの活用領域を拡大するため、SSLインスペクションの利用も視野に入っている。「できることならできるだけ多くのセキュリティ機能をBIG-IPに集約したいと考えています。F5には今後、より多岐にわたる機能をサポートしていただきたいですね」
