クラウド型WAF 攻撃遮断くん導入事例　
株式会社アンビション DX ホールディングス

2007年9月、株式会社AMBITIONとして設立。「都内デザイナーズマンション管理 No.1」「サブリースオーナー信頼度 No.1」※を獲得した賃貸管理事業を中心に、開発・企画・仕入れ・仲介・販売・保険までをワンストップ提供する総合不動産企業。RPA、IoT、スマートホーム、デジタル決済、自動接客システム「AIチャット」など、ビッグデータを活用した不動産 DX（デジタルトランスフォーメーション）に対して積極的な投資を行っている。経済産業省が定める「DX 認定取得事業者」に選定。2021年10月、社名を株式会社アンビション DX ホールディングスに変更。「DXによって不動産ビジネスを変革し、デジタルとリアルを融合した唯一の不動産デジタルプラットフォーマーになる」をビジョンに掲げ、不動産業界のさらなる進化を目指している。
※日本マーケティングリサーチ機構調べ：2021年3月期ブランドのイメージ調査

写真左：DX推進室課長前田洋氏
写真右：DX推進室室長中村勇介氏

導入前の課題

インターネットで展開するサービスが増え、サイバー攻撃から機密情報や個人情報を守るセキュリティ対策が必要になってきた
サーバやドメインが異なる複数のWebサイトのセキュリティ対策を一元管理したい

導入後の効果

サイバー攻撃や不正アクセスを確実にブロックでき、Webサイトの安心・安全を担保
攻撃遮断くんのWebサイト入れ放題プランで、サーバやドメインが異なる複数のWebサイトを一元管理

DXの包括的な推進とITインフラ、IT資産の管理・保守を担う

DX推進室の役割を教えてください。

DXの推進については各事業部・事業会社が権限と予算を持ち、それぞれが個別に行っています。それを包括的にモニタリングし、必要に応じて提案を行うことや、これまで蓄積してきたビッグデータの最適化をするのが我々DX推進室の役割となります。まだまだ分断化している状況ですので、これをどうやってデータドリブンのビジネスに変えていくかがミッションとなります。

それに加えて、各事業部・事業会社のITインフラおよびIT資産を管理・保守する情報システム部門の役目もあります。それが今回の攻撃遮断くん導入にもつながっています。

インターネット周りのセキュリティ対策が必須の状況に

攻撃遮断くんの導入に至った課題をお聞かせください。

不動産業務を展開し、お客様の個人情報をお預かりしている関係上、セキュリティ対策は常に最重要課題として取り組んでいかなければなりません。とくに近年、物件の情報公開やお客様とのやり取りはインターネットがメインになっており、当社もコーポレートサイトのほか、賃貸物件専門サイト、賃貸管理の集客サイト、仲介業者様専用サイトなど、複数のWebサイトを展開していますので、インターネット周りのセキュリティ対策に目を向ける必要がありました。

そんな中、海外でサイバー攻撃による情報漏えい問題が大きくクローズアップされ始めたこともあり、事業継続性を考えて我々も情報セキュリティに関する当社のガバナンス規定に沿った形で、Webサイトのセキュリティ対策を検討するようになりました。

攻撃遮断くんを導入した経緯をお聞かせください。

ITにおけるセキュリティ対策は未知の分野で、具体的な対策については手つかずの状況が続いていました。そんなとき、Webサイトを保護するセキュリティ対策のWAF、攻撃遮断くんについて話を聞く機会がありました、

導入当時（2015年頃）はようやくSSL証明書の発行が広がり始めたぐらいのタイミングで、WAFの意味も機能もよくわかっていない状態でした。正直なところ「本当にそこまで必要なのか」とも思いました。ただ、前述したようなサイバー攻撃がニュースでも取り上げられていましたから、何かしら対策は必要であることは認知しており、導入を決めました。
2015年に攻撃遮断くんを導入し、最初はDDoSセキュリティタイプで、現在はWebサイト入れ放題プランで利用しています。

サイバー攻撃の可視化とサポートで安心・安全を担保

攻撃遮断くんの導入効果をお聞かせください。

＜状況を可視化できる優れたダッシュボード＞
サイバー攻撃を可視化できるダッシュボードが素晴らしいと思います。多いときで一日数百件ほどの不正アクセスがあるのですが、これらがすべてダッシュボードで可視化されています。リアルタイム攻撃情報はもちろん、攻撃元IPや攻撃元国まで確認でき、しっかりブロックされていることが分かります。

実は攻撃遮断くんの導入後、WAFを利用できるサーバ運営会社があったため、少し試させていただいたことがあります。そのときはワンクリックでWAFを設定できる手軽さが良いものの、現在の状況などは全く可視化されていませんでした。正直なところ、攻撃遮断くんに慣れていたこともあって、物足りなさを感じました。

可視化できれば攻撃の数、大小・種類などに応じて対策を練ることが可能です。実際、可視化によって近年は、閲覧数が増えているサイトは攻撃頻度も増えていると実感しています。幸いにもダメージを受けるような攻撃はなく、ほとんどがWebスキャンですが、これらを攻撃遮断くんでブロックおよび可視化できていますから、仮に大きな問題があっても素早く対処できると思っています。

＜それぞれのサイトを一元管理できる＞
当社の場合、サイトによってサーバや保守会社が異なります。サーバが推奨するWAFなどを個々に導入すると管理が煩雑になってしまいますが、攻撃遮断くんは異なるサーバやドメインでも一元管理が可能。それぞれのサーバの管理画面にアクセスする必要がないので運用は本当に楽です。

実は10月の社名変更にともなうコーポレートサイトのリニューアルでサーバ運営会社を変更した際、サーバ運営会社のWAFを利用する話も出ましたが、やはり我々としては攻撃遮断くんで一元管理をしたいと思い、サイバーセキュリティクラウドに相談。結果、同社のサポートを受けながら面倒な作業なく攻撃遮断くんでの一元管理を継続することができました。

＜いつでもつながる24時間365日対応のサポート＞
基本はメール、緊急のときは電話で対応していただけるサポートは本当に頼りになります。先ほどのコーポレートサイトのリニューアルの際も、サポートのおかげで攻撃遮断くんをスムーズに導入することができました。このほか、これまでの運用のなかで5分間ほどサーバがダウンしたこともありましたが、この際も問い合わせてすぐに解決。IPアドレスを特定し、問題ないことが分かったため、ホワイトリストに登録して事なきを得ました。

電話がつながらないベンダーも少なくないなか、いつでもつながる24時間365日対応のサポートは本当に安心感があります。さらに、解決策のみを伝えるのではなく、いくつも選択肢を提案していただけるところも素晴らしいと感じています。

可能な限り攻撃遮断くんを導入していきたい

セキュリティ対策における今後の展開を教えてください。

今後も安心・安全を担保するために各事業部・事業会社のサイトへWAFの導入は必須だと考えています。新規のサイトは構築次第、攻撃遮断くんを導入していく予定ですが、既存サイトはシステムやサービス、サーバ状況などにより、攻撃遮断くんが未導入のところがあります。今後は各事業部・事業会社のサイト管理者と話し合いながら、最終的には全サイトに導入できればと思っています。そして、当社のお客様のなかで大きなウェイトを占めている仲介会社様に向けて「我々は攻撃遮断くんを導入してしっかりデータを管理しているので、安心して仲介業務を行ってください」と伝えたいですね。

導入のハードルは高くない

攻撃遮断くんの先行ユーザーとして、Webサイトのセキュリティ対策で苦労されている企業に向けたアドバイスがあればお願いします。

サイバー攻撃に対するセキュリティ対策というと、ハードルが高いイメージがあるかもしれません。しかし、攻撃遮断くんの導入に関してはそんな想像に反し導入・設定はとても簡単です。また、分からないことがあればサポートがナビゲートしてくれます。何より、可視化されたダッシュボードを見れば、「本当に入れて良かった」と思うはずです。

ありがとうございました。