新たな脅威やレイヤー 7 ルール、SSL 証明書などへの対応には時間がかかります。Web Application Protector というコスト効率に優れたソリューションにより、これらのタスクから解放され、ダグラス郡にビジネス価値を提供することに集中できます。
Jim Dolinski 氏, Web Application Developer, Douglas Omaha Technology Commission

重要なリソースへのセキュアで信頼できるアクセスを確保

2003 年に設立された Douglas Omaha Technology Commission（DOTComm）は、ネブラスカ州オマハおよびダグラス郡にある 70 以上の政府機関を対象にテクニカルサポートおよびコンサルティングサービスを提供しています。120 の機関に所属する 5,000 人以上の政府職員が DOTComm のサービスを日々利用しています。

DOTComm 勤続 20 年を超える Jim Dolinski 氏は、同機関の Web アプリケーション開発／統合の責任者です。彼のチームは、100 以上の政府機関を対象に、100 以上のサイトおよびアプリケーションをサポートしています。同チームは、サービス提供の一環として、限られたリソースと予算でリソースの可用性とセキュリティを確保しなければなりません。そのため、クラウドベースのソリューションを積極的に活用するようになりました。

Web セキュリティの課題への対応

DOTComm は 2016 年、数百万ドルを投じて旧式のレガシーインフラを一新するのではなく、サイトやアプリケーションを大規模なクラウド・サービス・プロバイダーに移行することにしました。また、クラウドベースの Web Application Firewall（WAF）と、システム停止を監視するための強力なアラートツールも導入しました。

しかし、この WAF では期待したほどの効果を得られませんでした。DOTComm では、システムの停止が 2 年間で 10 回以上発生し、その度に同機関の Web サイトとアプリケーションもダウンしていました。これらのシステム停止は 15 分から数時間に及びました。市民の安全性に影響を及ぼすミッションクリティカルなサービスについては 24 時間／365 日の可用性を確保する必要があるため、このダウンタイムは許容できるものではありません。

システムの停止の影響が DOTComm のミッションクリティカルではないサイトやアプリケーションにとどまった場合でも、郡の機関や市民からの苦情に対応しなければなりません。これらのシステムの停止に関して、WAF ベンダーは責任を認めませんでした。そこで、ベンダーの責任であることを証明するために、Dolinski 氏はログファイルを徹底的に調べ直すことになりました。ベンダーにサポートを求めた際には、WAF に関する知識に乏しい新人担当者とのやり取りを余儀なくされました。

さらに都合の悪いことに、その WAF ベンダーは DOTComm の SSL 証明書の更新も管理していました。しかし、証明書を更新するための適切なプロセスが整備されていなかったため、更新されることなく、期限切れになることも少なくありませんでした。その結果、DOTComm のサイトがオフラインになったり、SSL エラーが発生する事態となりました。

その WAF ベンダーとの契約が切れた瞬間から、Dolinski 氏は他のソリューションの導入を検討し始めました。

Web Application Protector でセキュリティアプローチを強化

Dolinski 氏は、クラウドプロバイダーが提供する WAF を利用することにしました。「基本的なルールを備えた優れたソリューションであり、証明書の更新に関する問題は解決できました。しかし当機関には、新たな脅威に対応し、高度な WAF ルールを作成および保守するためのリソースも時間もありません」と Dolinski 氏は語ります。

クラウドプロバイダーの WAF を利用して、インフラ内の多数のレイヤーでセキュリティを実行しているにもかかわらず、DOTComm は期待していたほど脅威を検知およびブロックできませんでした。

Dolinski 氏は DOTComm のセキュリティ上のニーズとギャップを明確に把握した上で、アクティブな脅威を監視するためのマネージド・ルール・セットを備えたソリューションを探しました。また、自社の製品に責任を持つ、プロ意識と応答性に優れたベンダーを利用したいと考えました。その条件を満たしていたのが、Akamai と Akamai の Web Application Protector ソリューションだったのです。

Akamai の経験豊富なプロフェッショナル・サービス・チームを利用することで、DOTComm は WAF を実装する際に一般的に直面する問題点を回避できました。「Akamai のエキスパートが提供するガイダンスやベストプラクティスに従って、最初の 4 つのサイトを迅速に移行し、未来を見据えた環境を構築できました。また、自分たちだけで 1 週間でさらに 60 のサイトを移行できました」と Dolinski 氏は述べています。

ビジネス価値の提供に集中

DOTComm は、最終的にはすべての Web サイトとアプリケーションを Web Application Protector ソリューションにオンボーディングする予定です。「ルールは自動的に更新されるため、最新のセキュリティ脅威を常に把握しておく必要はありません。この点が特に気に入っています」と Dolinski 氏は述べています。

DOTComm では、サービス妨害の被害が即座に減っただけでなく、誤検知と想定外のサービス停止が事実上ゼロになりました。これにより、Dolinski 氏とそのチームはインシデントのトラブルシューティングを行う必要がなくなり、数百時間を節約しています。さらに、サービス停止のせいで Web サイトやアプリケーションにアクセスできないという苦情を郡の職員や市民から寄せられることもなくなりました。

Dolinski 氏は、攻撃をリアルタイムで検知して可視化する Web Application Protector を高く評価しています。「以前使用していたソリューションでは、どのルールがどのような理由でトラフィックをブロックしているのかを把握することが困難でした。Akamai のソリューションでは、トラフィックがブロックされた理由を簡単に特定できます」と同氏は述べています。

Dolinski 氏のチームはこれまで、証明書の更新に関する問題に年間およそ 100 時間を費やしていました。現在はその時間をゼロに削減することに成功しました。「Akamai Web Application Protector により、Web セキュリティを信頼できるエキスパートに任せられるため、セキュリティルールの作成から解放され、ビジネス価値の提供に集中できるようになりました」と同氏は結論付けています。