DNPがシステム運用するハイブリッド型総合書店「honto」、BIG-IP ASMでアプリケーションのセキュリティを確保

　F5ネットワークスジャパン合同会社（以下、F5）は13日、大日本印刷株式会社（以下、DNP）が、「F5 BIG-IP Application Security Manager（ASM）」を採用したと発表した。DNPでは、自社がシステムを運用しているハイブリッド型総合書店「honto」のセキュリティを向上させるために、BIG-IP ASMを利用しているという。

　hontoは、DNPのグループ会社である株式会社トゥ・ディファクトが運営している、紙の本と電子書籍を組み合わせたハイブリッド型総合書店。2012年に2つのサービスが合併しサービスが刷新されているが、その時にシステム全体を再構築しており、構築・運用をDNPのhontoビジネス本部が担当している。

　そのhontoは、DNPが運営する中ではかなり大きなB2Cビジネスであり、ほかのシステムと比べて攻撃を受ける可能性がけた違いに高かったことから、刷新のタイミングにおいて、情報流出に直結しやすいアプリケーションへの攻撃を防御する目的で、Webアプリケーションファイアウォール（WAF）の導入を検討。最終的にBIG-IP ASMの採用を決定した。

　DNPが評価したのは、当時のWAFの中でも最もメジャーな製品だったことに加え、すべてのパケットを通過させるためにインライン構成を取った場合でも、十分な処理能力を確保できる点。また、すでに運用されていたBIG-IPのアドオンとして導入でき、ロードバランサーとの統合管理が可能なことも決め手となった。

　こうして、2012年5月にはBIG-IP ASMを導入し、最初の約1年はロギングモード（透過モード）で運用。2013年7月より、ブロッキングモードでの運用を開始した。

　DNPによれば、当初の想定通り、hontoは年間合計で100万件を超える膨大な数の攻撃を受けているというが、アプリケーションに対する攻撃はすべてBIG-IP ASMのWAF機能でブロックされており、セキュリティ上の問題に発展したことはないとした。

　さらに、アプリケーション攻撃の防御をBIG-IP ASMに任せることで、セキュリティを中心とした非機能要件テストの一部を省略できるようになったとのこと。これにより、アプリケーション開発の負担が軽減され、より短期間でアプリケーションをリリース可能となっている。

　なお、導入から5年後に行った機器更新の際にも、ロードバランサーとWAFは継続してBIG-IPを採用。2017年9月に機器の切り替えを行い、攻撃検知のためのシグネチャの拡充、設定内容に対するチューニングも実施したとのことだ。