Amazon Web Services ブログ

株式会社 Sumarch 様の AWS WAF 活用事例「段階的導入によるセキュリティ強化とレスポンスタイム 30% 改善の実現」

本ブログは 株式会社 Sumarch 様Amazon Web Services Japan 合同会社 が共同で執筆いたしました。

みなさん、こんにちは。AWS ソリューションアーキテクトの森です。

Web サービスを運営する上で、セキュリティ対策とパフォーマンスの両立は重要な課題です。特に SaaS 事業者にとって、悪意ある攻撃からサービスを守りながら、正規ユーザーに快適な体験を提供することは、ビジネスの成否を左右する重要な要素となっています。

従来のセキュリティ対策では、攻撃トラフィックがアプリケーション層まで到達してしまい、サーバーリソースを消費してしまうという問題がありました。その結果、CPU 使用率が逼迫し、正規ユーザーのレスポンスタイムが悪化するといった事態も発生していました。また、スクレイピングボットや SQL インジェクション攻撃などの脅威に対して、十分な防御策を講じることが困難でした。

今回は不動産物件検索システムを運営する株式会社 Sumarch 様が、AWS WAF を段階的に導入し、数万件以上の攻撃をブロックしながら、システムのパフォーマンスを向上させた事例を紹介します。

株式会社 Sumarch 様の状況と課題

株式会社 Sumarch 様は、不動産物件検索システムである「ハウスボカン」を運用されており、以下のような課題に直面していました。

セキュリティ脅威の増大

  • 突発的な DDoS 攻撃により、通常時の約 10 倍のトラフィックが発生していた
  • スクレイピングボットによる大量のデータアクセスが発生し、管理する物件データに対する攻撃リスクがあった
  • SQL インジェクション攻撃の試行が頻繁に観測され、データベースのセキュリティに懸念があった

パフォーマンスの悪化

  • CPU 使用率が 100% に到達し、レスポンスタイムのスパイクする事象が発生していた
  • 現在のレート制限設定では、画像ファイルなどの静的リソースも含めたリクエストカウントにより正常ユーザーもブロックされる事象が発生していた
  • 攻撃パターンが不規則で複数サーバーから実行されるため、特定 IP アドレスでのブロックが困難な状況であった

そこで AWS WAF を活用したセキュリティ強化により、これらの課題を解決することになりました。

ソリューション

株式会社 Sumarch 様は、AWS WAF を活用した多層防御アーキテクチャを採用し、以下のような構成を実現しました:

包括的なセキュリティルール構成

  • AWS Managed Rules for AWS WAF と独自ルールを組み合わせ、SQL インジェクション、ボット攻撃、DDoS 攻撃など多様な脅威から保護し、最新の脅威情報への自動対応と運用負荷の削減を実現

Bot Control マネージドルールグループの活用

  • 機械学習を活用した高度なボット検出により、悪意あるスクレイピングボットを効果的にブロックしながら、SEO に重要な正規の検索エンジンボットは適切に許可

Amazon CloudWatch との統合

  • AWS WAF によるブロック数の推移、ルール別のブロック統計、地域別の攻撃パターンをリアルタイムで可視化し、迅速な対応と継続的な最適化を実現

段階的導入アプローチの重要性

AWS WAF の導入では、サービスへの影響を最小限に抑えるため、段階的なアプローチが重要です。本番環境での使用前にマネージドルールグループのテストとチューニングを行うことで、正規ユーザーへの影響を回避できます。

今回の事例では、基本的なセキュリティルールから開始し、Bot Control を監視モードで導入してボット検出精度を検証、CloudWatch メトリクスによる効果分析を経て、最終的にカスタムルールを追加することで改善を実現しました。

導入効果

AWS WAF の導入により、セキュリティとパフォーマンスの両面で改善を実現しました。

セキュリティ向上

  • 2 ヶ月間で 92,000 件以上の攻撃をブロック
  • スクレイピングボット、SQL インジェクション攻撃などを自動検出・防御
  • 正規の検索エンジンボットは適切に許可し、SEO への影響を回避

パフォーマンス改善

  • CPU 使用率が 100% に到達する事象の解消
  • レスポンスタイムを最大 30% 改善

お客様の声

AWS WAF の段階的な導入により、セキュリティとパフォーマンスの両立を実現できました。Bot Control マネージドルールグループと独自ルールの組み合わせにより、CPU 使用率が 100% に達する課題が解消され、レスポンスタイムも改善しました。AWS Managed Rules for AWS WAF により、数万件件以上の攻撃を自動的にブロックしながら、正規ユーザーには快適な体験を提供できています。Amazon CloudWatch との統合で攻撃パターンの可視化とリアルタイム監視が可能になり、少人数のエンジニアチームでも効率的にセキュリティ対策を運用できる AWS WAF は、当社にとって必須のサービスです。

まとめ

株式会社 Sumarch 様の事例では、AWS WAF の段階的導入により、数万件以上の攻撃をブロックしながら、CPU 使用率の逼迫を解消し、レスポンスタイムを最大 30% 改善することに成功しました。

成功の要因は、段階的な導入アプローチによるサービスへの影響最小化、AWS Managed Rules for AWS WAF による最新脅威への自動対応、CloudWatch 統合による継続的な監視と最適化です。これにより、セキュリティ強化と運用負荷削減を同時に実現し、高い投資対効果を得られています。

本事例が、Web アプリケーションのセキュリティ強化をご検討中のお客様の参考になれば幸いです。AWS WAF を活用したセキュリティ対策にご興味をお持ちの方は、お気軽にお問い合わせください。

株式会社 Sumarch(左から):
杉田 昌隆 様
佐々木 正男 様
 

Amazon Web Services Japan 合同会社:
アカウントマネージャー 植木 輝(右端)
ソリューションアーキテクト 森 瞭輔(左端)

ソリューションアーキテクト 森