株式会社Hayakyu様

自社ファイナンシャルサービスのセキュリティをAlert Logicで確保しています。PCI DSS準拠を視野に入れ、製品導入から運用監視をワンストップで実現出来ました。
Hayakyu システム開発本部 鮫島正好 氏、相馬正明 氏にAWSおよびAlert Logicを導入した経緯とその効果について詳しく聞きました。

Hayakyuと『早給ペイロールカードシステム』について

http://hayakyu.com/

Hayakyu(ハヤキュウ)は平成27年設立の法人向け金融サービス企業です。主力サービスは、日給・週休でスタッフを雇用している企業に、「給与の立て替え」を行うクラウドサービス、『早給ペイロールカードシステム』です。
日給・週休の仕事で求人する場合、募集者にとっては無給期間が短い会社、つまり週払いのときでも三日働けば三日分の給与が前払いされる会社の方が魅力的です。このように企業の求人力を高める効果のある給与の前払いですが、一方では現場の事務作業や現金手配の負担増大という難点があります。
この問題を解決するのが『早給ペイロールカードシステム』です。給与前払いの際はHayakyuが、一時的に給与を「立て替える」形で、スタッフの口座に支払いします。クライアント企業に対しては月次で立て替え分を請求します。現在は銀行振込のみですが、今後はプリペイドカード、デビットカードなど各種カードに対応した立て替え払いにも対応していく予定です。

(※ この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています)

自社基幹サービスのインフラ基盤、セキュリティ基盤に、AWSとAlert Logicを採用

HayakyuではAWSとAlert Logicをどう活用していますか。

HayakyuではAWSとAlert Logicを導入しています。AWSは自社基幹サービスである『早給ペイロールカードシステム』のインフラ基盤として、Alert Logicはそのセキュリティ基盤として活用しています。

セキュリティ対策ではこの他、別のセキュリティサービス(以下 『サービスA』)も併用しています。

システム概念図は次のとおりです。この図でわかるとおり、本番環境ではAlert Logicを使い、開発環境では『サービスA』を使っています。

Alert Logicと『サービスA』の違いは大きく次のとおりです。

項目 Alert Logic 『サービスA』
IDS(不正侵入検知) 標準サービス 標準サービス
WAF(Webアプリケーションファイアウオール) 標準サービス 標準サービス
SIEM(セキュリティイベント管理) 標準サービス オプションサービス
SOC(24時間セキュリティ監視) 標準サービス オプションサービス
脆弱性検査ツール 標準サービス オプションサービス

Alert Logicと『サービスA』のちがいは、SIEMとSOC、つまり「人的監視」の部分です。本番環境で人的監視を重視したのは、PCI DSS規格への対応を見据えたものです。

参考情報:PDC DSSとは

PCI DSS(Payment Card Indsutry Data Security Standard)とはクレジットカードなど高度セキュリティが必要な環境での推奨セキュリティ基準です。VISA、MasterCard、AmericanExpress、JCB、Dinersというクレジットカード主要5社が、クレジットカード情報保護のためのセキュリティ対策フレームワークとして共同策定しました。インターネット上の決裁に関する基準が厳しいのが特徴であり、2020年までにはインターネット上のECサイトはすべてPDC ISSの取得が求められるという見通しもあります。

Hayakyu環境構成概要図

AWS、Alert Logic導入の経緯

今回、AWSとAlert Logicを導入した経緯を教えてください。

『早給ペイロールカードシステム』は4年前、2013年にサービス提供形態をクラウド型に変更しました。ただしこのときは「特定既存顧客向けの試験運用」という位置づけだったので、それをふまえ「システム基盤はデータセンターを活用したオンプレミス」、「セキュリティは必要十分の範囲」という仕様でした。

そして2年前、2015年に試験運用を終え本格運用に移行することになり、そのときシステム基盤をクラウド化することを決め、AWSとAlert Logicを導入した次第です。

人的コスト削減を目指してクラウド基盤を選択

今回システム基盤をクラウドにした理由を教えてください。

システム基盤をクラウドにしたのは、「ハードウエア故障への対応など管理コスト(TCO)を低減したい」ということが大きな理由です。

オンプレミス、つまりデータセンターによる運用の場合、機微な案件への対応では「Hayakyu社員による現地立ち会い」が必要になることがあり、そこで生じる「人的コスト」が難点となります。その点、クラウドならばサービス提供企業にすべてを任せることができ、障害復旧時の「立ち会い」の必要はありません。

PCI DSSへの準拠という観点で考えても、システム基盤がクラウドかオンプレミスかは問題にされません。重要なのは「的確・確実に管理されている」ということです。

インテグレーションコストの割安感がAWS選択の理由

数あるクラウドサービスの中からAWSを採用した理由を教えてください。

大きくは「インテグレーションも含めたトータルコストを見たとき、AWSに割安感があった」というのが理由です。

AWSはクラウドサービスの中でシェアが最も高く、その分、多数のインテグレーション企業がいます。それによって競争原理が働く分、他のクラウドサービスよりもインテグレーションコストに割安感がありました。本体価格が同じでもトータルで見るとAWSの方が割安になるわけです。

Hayakyuから見たサーバーワークスの魅力

AWSインテグレーション企業としてサーバーワークスを選んだ理由を教えてください。

サーバーワークスはまず実績とインテグレーション力を評価して選択しました。もう一つ大きな理由として、「会社が生き生き、はつらつとしており、Hayakyuと共に成長していける企業だと感じた」ということもあります。

SI企業もあまり大企業すぎると組織としてのブランド、規模は十分でも中で働いている人が事務的だったり、あるいは組織の壁に邪魔されて身動きが取れなくなっていたりすることがあります。

しかしサーバーワークスは現在、成長中の企業であり、社員のみなさんも生き生きと働いていることが顔つきからもハッキリわかります。サーバーワークスとなら一緒に良い仕事ができると感じました。

セキュリティサービスは、当初は別製品の採用を検討

セキュリティ対策はどのように選定したのでしょうか。

当初は、いま開発環境で使っている『サービスA』を全面導入する予定でした。『サービスA』は有名でシェアも高く、PCI DSSのコンサルタントからも「『サービスA』を使ってPCI DSSに合格した企業は多くある。これを使うのがいいと思いますよ」と推薦されました。

しかしその後、サーバーワークスからの紹介でAlert Logicのことを知りました。説明を聞いて魅力を感じたので、『サービスA』とAlert Logicを比較検討することにしました。

また第三の選択肢としては、IDS、WAF、SIEM、SOCをそれぞれ別会社から個別導入するという方法もありえます。これも一応、比較対象としました。

セキュリティサービスに求めた要件

各種製品、方式を比較したときの要件、比較基準を教えてください。

Alert Logicと『サービスA』を比べたときの比較条件、求めた要件は次のとおりです。

  1. 「ログの日次解析、対応をアウトソースできること」
  2. 「PCI DSSの合格実績があること」
  3. 「未知の脅威への対応スピードが速いこと」
  4. 「トータルコストが安いこと」
  5. 「サポートが一元化できること(切り分け不要)」
  6. 「属人性を低減し、セキュリティレベルを平準化できること」
  7. 「高いセキュリティ専門能力を有した企業であること」
  8. 「そのサービス(あるいはSI企業)にロックされないこと」
  9. 「インターフェースが分かりやすいこと」

監視業務はできればアウトソースしたかった

要件1.「監視業務をアウトソースできること」とは具体的には。

PCI DSS基準では「ログを毎日検査して、不審な兆候が見られた場合は直ちに対処すること」が義務づけられています。

しかし決して技術者の人数が潤沢でない弊社にとって、監視業務に人的リソースが割くのは避けたく、できればアウトソースしたいところでした。

この監視業務については『サービスA』を導入した場合、Hayakyuの社員が自前で行うことになります。PCI DSSのコンサルタントによれば「他の会社も自前でやっている。面倒でもしょうがない」とのことでした。

一方、Alert LogicではSIEMとSOCが標準装備されており、監視業務は完全にアウトソースでき、Hayakyuスタッフは動く必要がありません。任せられるならこんな有り難いことはありません。この点はAlert Logicの大きな優位性でした。

PCI DSSの豊富な合格実績

要件2.「PCI DSS合格実績があること」

今回のセキュリティ強化はPCI DSSへの準拠が主目的なので、新たに導入するセキュリティサービスにはPCI DSSの合格実績があることを求めました。

この点については、『サービスA』の方が日本国内でのシェアが高い分、国内でのPCI DSS合格実績が豊富でした。一方、Alert Logicは日本で発売されたばかりなので、国内の合格実績はまだありませんでした。しかし海外では『サービスA』に匹敵するほど豊富な実績がありました。

PCI DSSは国際規格なので実績が国内か海外かは関係ありません。合格実績の点では『サービスA』もAlert Logicも互角という判断になりました。

単一プラットフォームが有利になる点

要件3.「未知の脅威への対応スピードが速いこと」とは。

セキュリティ対策では、ある日突然、未知の脅威が現れることがあります。その脅威への緊急対応はもちろん早ければ早いほどよいといえます。

Alert LogicはAWSに特化したセキュリティサービスです。つまり、未知の脅威へ対応のときも対象プラットフォームはAWSだけです。一方『サービスA』はすべてのプラットフォームに対応した汎用的なサービスです。

この前提だけで断言はできませんが、Alert Logicの方が対応速度が遅くなることは、まずないだろうと判断しました。

表面価格と運用費用を合算して比較

要件4.「トータルコストが安いこと」とは。

コストについては「表面価格」と「その後の運用でかかる人件費」を合算してトータルで比較しました。

まず表面価格については『サービスA』の方が割安です。しかし『サービスA』ではセキュリティログの監視を自力でやらなければいけません。その人的コストを考えるとAlert Logicの方が、社員一人分の人件費ぐらいに割安です。「セキュリティログを監視する」という前提ではAlert Logicがコスト面で優位でした。

サポート窓口は必ず一つに

要件5.「サポートが一元化できること(切り分け不要)」とは。 

IDS、WAF、SIEM、SOCなど複数のセキュリティサービスを使っていても、サポート窓口は一つに統一できることを求めました。「セキュリティ脅威」という一つの事象、問題が発生したとき、それを複数の窓口に問いあわせるのは非効率だからです。

この点についてはAlert Logicと『サービスA』のどちらを導入するにせよ、「サーバーワークスを通じて導入する」ことにより解決できます。何か不明があればサーバーワークスに質問すればよいからです。

セキュリティレベルの高位平準化を目指す

要件6.「属人性を低減し、セキュリティレベルを平準化できること」とは。

日々の監視を自力でやるとなると、その能力がある人材を複数名、確保しなければいけません。しかしセキュリティは弊社にとって専門外ですし、その複数名の中でどうしても技術、習熟度のバラつきがでてきます。このような属人性が高い状態、人ごとにレベルのバラツキのある状態は、セキュリティを確保する上で望ましくありません。

監視は一定レベルを超える人材が揃った専門企業にアウトソースして、セキュリティレベルを平準化したいと考えました。

自前の監視では高度セキュリティ脅威に対応できない

要件7.「高いセキュリティ専門能力を有した企業であること」とは。

仮に私たちが自前で監視をすることになったとします。この場合、初歩的なネットワーク侵入なら見つけられるかもしれません。しかし、日々進化する攻撃方法や脆弱性を追従することは現実的に出来ません。

こうした課題を解決するためにも、高い知識と能力を持つ外部のセキュリティ専門企業にアウトソースする方が得策だと考えました。

囲い込み傾向が強いのは困る

要件8.「そのサービス(あるいはSI企業)にロックされないこと」とは。

とはいえあまりに優れた専門企業にアウトソースしてしまうと、その会社なくしてはやっていけなくなる、つまりその会社にロックインされる危険性もあります。

しかしサーバーワークスは「ユーザーを育てる」という意識が強い会社なのでこの心配はありませんでした。
サーバーワークスは私たちが「ひとりだち」できるよう知識やノウハウを惜しみなく伝えてくれます。

概念が難解な分、インターフェースは分かりやすくあってほしい

要件9.「インターフェースが分かりやすいこと」とは。

セキュリティの世界は概念や用語が分かりにくいので、せめてインターフェースぐらいは簡単であってほしいと思いました。この点ではAlert Logicのインターフェースはわかりやすくと良いと思います。


以上、9つの要件、比較条件を基準に各サービスを比較検討したところ、Alert Logicが最も優れていたのでこれを採用しました。Alert Logicは、セキュリティ製品と監視サービスを標準装備しており、監視業務を完全にアウトソースできる点、そして「トータルコストが安い点」で強い優位性がありました。

ただ『サービスA』も良いサービスであることには間違いないので、こちらは開発用サーバの方で使うことにしました。開発サーバは、PCI DSSの対象外であり、監視の対象ではありません。そういうサーバーで『サービスA』を使うのなら合理的といえます。

Alert Logicとサーバーワークスへの評価

半年間、Alert Logicを使ってみての評価をお聞かせください。

AWSとAlert Logicの活用によりPCI DSS準拠への「土台」は確保できました。あとは私たちが運用手順の面をしっかり整えるだけです。

また半年使ってみて「心理的な導入効果」を実感しています。心理的な効果というのは、セキュリティ、特に監視業務をアウトソースできたことで、私たち開発部門は「本業である自社サービスの開発、改善に心置きなく専念できる」ということです。もしログ監視を自力で対応していたとしたら「明日は監視当番の日か…」と思って気が散ります。そういうことを「すべて」忘れられるのは精神衛生に良い状態です。

もう一つ、半年一緒に仕事をしてみてのサーバーワークスへの評価ですが、「この会社なら緊急事態が起きたときでも絶対にいい仕事をしてくれるな」と改めて思いました。

セキュリティ事象は必ず緊急の問題として発生します。サーバーワークスならば、そのときに「契約の範囲内かどうか」とか「まず問題の切り分けを」とか言わずに「問題解決ファーストの姿勢」ですぐさま動いてくれると確信できます。達成したい目的を同じ目線で共有できる、私たちにとって心強いパートナーです。

心理的な導入効果

現在、Alert Logicの導入を検討している企業担当者に向けて「先行ユーザーとしてのアドバイス」などあればお聞かせください。

繰り返しになりますが、セキュリティを専門家にアウトソースしていることで得られる安堵感は予想以上のものでした。

セキュリティ脅威はある日突然、起きます。ある日突然、緊急事態が起きれば、普通の人はテンパって頭が真っ白になるでしょう。このときもし専門家の助けがないとすれば、すべて自分たちで対処しなければいけません。しかしセキュリティについて専門家ではない私たちには正直それは無理です。

セキュリティの専門家が24時間365日監視していること、これは精神的な安心感を与えてくれます。

今後の期待

Alert Logic、サーバーワークスへの今後の期待をお聞かせください。

今回、AWSとAlert Logicを使って、自社基幹サービスである『早給ペイロールカードシステム』のための、強固なインフラ基盤とセキュリティ基盤を確保できました。Hayakyuは引き続きお客様のための便利で使いやすい金融サービスを拡充していく所存です。Alert LogicおよびサーバーワークスにはHayakyuのこうした取り組みを、優れたクラウドサービス、セキュリティサービスの継続提供を通じてビジネスパートナーとして引き続き後方支援していただくことを希望します。 今後ともよろしくお願いします。

写真左1名、写真右2名はサーバーワークス社員
左から市原 五郎、鎌田 裕樹、山﨑 皓平

※ Hayakyuのサイト:http://hayakyu.com/
※ 事例公開日 2017年8月9日
※ 事例の内容は取材当日(2017年2月)のものです。
※ 取材制作:カスタマワイズ http://www.customerwise.jp/

この事例に関するお問い合わせ

こちらの事例に関するご相談・お問い合わせはこちらのフォームにて受け付けております。
送信後、2〜3営業日内に担当営業よりご回答差し上げます。
 * マークのついている項目は必須入力です。