ご利用事例~福岡市様

1972年に政令指定都市へと移行した福岡市は、全国の政令指定都市のなかでも5番目に多い人口を擁する、九州最大の都市。近年では人口増加率の高い政令市として、「仕事があり、住みやすい街」との評価が高まっている。2017年1月にリニューアルされた同市のWebサイトは、福岡市民への市政・生活情報の提供はもちろん、国内外からの旅行者向けに、福岡市の魅力を伝える役割を担う。地方自治体のサイトで、どのような理由からクラウド型WAF(Web Application Firewall)のScutumが選ばれたのかを伺った。

福岡市 市長室 広報戦略室 広報課 広報第2係長 藤井 ひろ子 様/株式会社BCC 官庁公共事業本部 第四公共システム部 第四システムグループ 主任 中尾 篤史 様/官庁公共事業本部 第四公共システム部 第四システムグループ 日下部 聖 様

【写真中央】
福岡市
市長室 広報戦略室 広報課 広報第2係長
藤井 ひろ子 様

【写真左】
株式会社BCC
官庁公共事業本部 第四公共システム部
第四システムグループ 主任
中尾 篤史 様

【写真右】
官庁公共事業本部 第四公共システム部
第四システムグループ
日下部 聖 様

自治体で進むWebサーバのクラウド化とともに、クラウド型WAFを導入

福岡市のWebサイトについてお教えください。

私の所属する広報戦略室では、紙媒体の「市政だより」と市のWebサイトを主たる広報媒体として,Twitter・Facebook・LINEなどのSNS、メールマガジン、YouTubeを使った動画の配信、テレビCMなどを有機的・効果的に組み合わせた情報発信を行っています。2017年の1月末にはWebサイトをリニューアル。スマートフォンでの閲覧やJISの基準に基づくアクセシビリティへの対応のほか、TOPページに「ブランディングエリア」を設け、市の取り組みや魅力をアピールすると共に、市民生活に身近な情報を見やすく、探しやすく再配置しました。また、下層の記事ページは書式を統一し、内容もわかりやすくリライトしています。

WAF導入のタイミングと、導入の決め手についてお教えください。

Scutumの導入は2013年度末でした。その時期がWeb用の公開サーバのリース更新期限で、リプレース先の検討を行っていました。検討を始めたとき「PM2.5」が社会問題化し、盛んに報道されたこともあって、市の「PM2.5」情報提供ページへもいままでにないほどの大きなアクセスが発生しました。そのような短時間のアクセス集中にも堪えうるスペックと柔軟性、そしてサイバー攻撃の増加を見据えて検討した結果、公開サーバのクラウド化と最適なネットワーク環境、それらに対応できるWAFとしてScutumを導入することに決定しました。

サーバ契約更新に伴うクラウド移行というお話のなかで、多段階防御の選択肢の1つとしてWAFを提案しました。WAFにもさまざまな製品がありますが、導入型の製品等を比較した中で、クラウド型のScutumは、導入や解除が容易であること、スケールに応じて段階的に利用できる点が決め手になったと思います。

アクセスが非常に多いため、攻撃のリスクも高くなると考えていました。24時間/365日攻撃をブロックでき、安定的に稼働できるサービスという基準を重視して選定しました。
また、総務省では2010年に「地方公共団体におけるASP・SaaS導入活用ガイドライン」という、ASPサービスを導入するにあたってのガイドラインを策定していました。その流れにそった提案ということで、上層部へ挙げる前の準備もしっかり行えていたので、スムーズに理解してもらえたと思います。

「自治体サイトは攻撃とは無縁」との誤解と、WAFの重要性を再認識

Scutum導入後の、運用面での変化はありましたか?

私は福岡市のWebサイトの運用・保守を担当しています。WAF導入前は、データセンターから攻撃検知等のアラートが届き、それを確認した上で対応を始めていました。現在は、Scutumの防御ログに毎日アクセスし管理することで、攻撃の状況がリアルタイムに把握できるので、対応が速やかにできるようになりました。

アラートが鳴ったら休日も関係なく呼び出されて対応するという、職員の負担がなくなったのは大きなメリットだと思います。また、BCC様からいただく月次の運用報告でWAFによる検知・防御の報告が加わったのですが、それを見たときは「こんなに攻撃を受けていたのか」と驚きました。リポートで報告された、WAFが防いだ攻撃数は多いときで月間3000件にも上ります。

攻撃が可視化されたことで、セキュリティへの意識は変わりましたか?

「カード情報のような個人情報を扱うサイトではなくとも、自治体のWebサイトが攻撃対象になる」ということが、以前はあまりイメージできていませんでした。しかし、攻撃の数や内容が可視化されたことで、WAFの重要性を再認識しました。上司や部署間でも共有する情報なので、周囲に「攻撃がこれだけある」と説明するときにも、伝わりやすいですね。

問い合わせへのレスポンス、新たな脆弱性への対応スピードの早さが、安心につながる

Scutumのサポート面や、今後の期待についてお聞かせください。

導入当初は、どういう状況でブロックされているのか分からなかった部分もありましたが、SSTの担当者に問い合わせたところすぐ返答をもらって、サポートしてもらえるため、その点は非常に満足しています。また、新たな脆弱性への対応も早いので、安心して使えています。

攻撃が可視化された話がありましたが、Scutumの検知・防御リポートを見ると、データベースに対する攻撃だったり、新しい脆弱性に対する攻撃だったり、その時々で流行している攻撃が多く検知されているのが読み取れます。攻撃の可視化は、そのような攻撃を防御できているという確認にもなっています。

最近、新聞で「サイバー攻撃が前年比2.4倍に増加」という記事を目にしました。パソコン以外にもIoT機器まで標的になり、年間で千億単位の攻撃が発生しているという実態を見聞きすると、Webサイトのセキュリティがどれほど大事か、痛感します。市民の方に、常に安定的に、市のWebサイトを安全に見てもらえるように、Scutumにはますます進化してもらいたいと思います。

■ 福岡市様 ご紹介

福岡市様

1972(昭和47)年4月に政令指定都市に移行し、現在は東区・博多区・中央区・南区・城南区・早良区・西区の7区で構成されている。人口は155万6775人(平成29年2月1日現在・推計人口)。「人と環境と都市活力の調和が取れたアジアのリーダー都市」を目指し、その実現に向けた政策を進めている。

福岡市
https://www.city.fukuoka.lg.jp/