ecbeing、EC サイトに Amazon CloudFront と AWS WAF を採用。Edge サービスの統合によりオペレーションを効率化

PCI DSS への準拠を目指して AWS WAF を採用

1999 年の販売開始以来、大手や中堅企業を中心に 1,600 サイト以上の導入実績を誇る『ecbeing』。EC 戦略の立案から、EC サイトの構築、デジタルマーケティング・デザイン支援、インフラ・セキュリティまでワンストップで提供し、開発 500 名、マーケティング 200 名の国内最大級の体制でお客様を支援しています。

EC サイトのサービス提供基盤は、2010 年代に自社運用から他社のクラウドサービス（以下、他社クラウド）へ移行しました。2020 年にはまた別の他社クラウドの利用を開始し、現在は複数の他社クラウドを使い分けています。「ロケーションを明確にしたいお客様向け、局所的なアクセスへの対応などでサーバーリソースを柔軟に利用したいお客様向け、と用途に応じてサイトを構築しています」と語るのはサーバーサービス部 部長の藤川洋平氏です。

ecbeing が AWS を採用したのは 2014 年頃にサイトの画像キャッシュで Amazon CloudFront を導入したのが始まりです。コンテンツの充実やリッチ化し、大規模サイトへの導入も増え、サービス提供基盤上のサーバー（オリジンサーバー）負荷が増加したことから、エッジロケーションからコンテンツを提供する CDN を用いてレスポンスの向上を図ることが狙いでした。その後、2018 年頃に DDoS 攻撃の規模が拡大する傾向が見られた際に、AWS Shield による DDoS 保護を動的ページにも適用する目的で、サイト全体を CDN でホスティングするリバースプロキシ型で Amazon CloudFront の利用を開始しました。

「2014 年当時、最も先行していた CDN が Amazon CloudFront でした。導入事例も豊富で始めやすかったことから、採用を決めました」（藤川氏）

近年、EC サイトに対する攻撃は増加の一途を辿っており、手口も巧妙になってきており、多層防御が必須になりつつある状況です。PCI DSS v4.0 でも Web アプリケーションに対して WAF の導入を定めていることから AWS WAF を採用することにしました。

Edge サービスを Amazon CloudFront と AWS WAF で統一

同社は AWS WAF を採用し、Amazon CloudFront とあわせて Edge サービスを AWS のサービスで統一することにしました。

「AWS WAF は Amazon CloudFront と紐付けて管理することができ、モード切替なども便利です。Amazon CloudFront のマネジメントコンソール上で一元管理が可能で、WAF のルールも複数のサイトに適用ができます。Edge サービスを AWS で統一することで、サービス提供基盤の複数の他社クラウドを横断的に保護できることもあり、AWS で一本化することにしました」（藤川氏）

Amazon CloudFront と AWS WAF を適用するサイトは、主に BtoC 向け EC プラットフォームで運用している大規模な約 1,000 サイトを対象とし、2023 年 5 月より適用を開始して 2024 年 3 月に対象サイトへの適用を終えました。

スムーズに適用できた要因は、長年の Amazon CloudFront の運用実績によるノウハウや、同社のインフラエンジニア、アプリケーションエンジニア、CSIRT 部門のセキュリティスペシャリストが連携して進めたことなどがあります。サーバーサービス部 シニアリードエンジニアの大野好康氏は次のように語ります。

「AWS WAF の設定自体は簡単で、1 サイト数分程度、対象サイト全体でも 1 週間程度で終わりました。一方で設定後のログの確認作業は膨大であったため、人海戦術により 2 か月ほどかけて集中して実施しました。具体的には、Amazon Athena を使ってログをクエリで検索し、正常な動作を止めてしまうルールの解除や、防御するためのルールを追加しました。中でも、ecbeing のパッケージ開発の経験があり、アプリケーションの振る舞いをすべて熟知した当社の CSIRT 部門の担当にログの判断を依頼し、アドバイスを得て短期間で着実な適用を実現しました」

CDN へのオフロードでオリジンの負荷軽減し、インフラコストを最適化

「今回、AWS WAF を導入することで、ecbeing のセキュリティサービスをさらに充実することができました」（藤川氏）

WAF を AWS WAF に一本化したことで、ecbeing で管理している IP Block List の一括適用や、アップデートの一元化など、管理が容易になりました。ユーザーごとに個別で WAF を適用していた従来は、WAF の導入に 1 か月程度を要していましたが、統合後は 1 営業日で対応が可能となりました。CSIRT 部門により、ユーザー ID・パスワードに加えてパズル認証の適用の実証試験を行う等、セキュリティの強化も着々と進んでいます。

また、Edge サービスの領域で、ユーザーからのリクエストを前段で受けることで、サービス提供基盤上のオリジンサーバーの負荷を下げることが可能となり、インフラ全体のコスト最適につながっています。

「サービス拡大でコンテンツが大きくなった今、Amazon CloudFront の前捌きがなければ、オリジンサーバーのスペックは現状の 2 倍以上は必要で、サーバーコストは大きくなっていることが想定されます。ランニングコストの軽減においても、AWS の Edge サービスが貢献しています」（大野氏）

今後については、AWS WAF のログデータを分析しながらチューニングを実施して防御力をより高めたり、サイバー攻撃の傾向を把握して対象サイトのアップデートを実施したりしていく計画です。エンドユーザーの UX 向上に向けてサイトの改善も進めており、直近では独自のサービスとして AWS 上で構築した「waitingroom」という仮想待合室を構築する取り組みなど進化を続けています。ecbeing のサービス提供基盤については、引き続きサーバーサイドの処理を Edge サービスに寄せていく方針です。

「AWS のスペシャリストのテックメンバーやアメリカ本社のサービスチームからは、プロジェクト中から現在にいたるまで、定例会を通してさまざまな情報提供をいただき感謝しています。サーバーサイドの処理を Edge サービスに寄せられるよう、今後の機能アップデートに期待しています」（藤川氏）