クラウド型WAF 攻撃遮断くん導入事例　
株式会社いえらぶGROUP

2008年1月設立。クラウドシステムの「いえらぶCLOUD」を中心に、ITの力で効率化するサービスを開発・提供することで住業界の環境改善に注力。オールインワン不動産業務支援システムのいえらぶCLOUDは、全業務をカバーする圧倒的な機能性、直感的に操作できる分かりやすいデザイン、導入後も寄り添うサポート＆コンサルティングで、これまで多くの導入実績を誇る。ほか、いえらぶ物件検索、いえらぶマンション口コミ、いえらぶ不動産相談、いえらぶ不動産会社検索、いえらぶ管理会社比較、いえらぶBBなど、不動産に関わるさまざまな支援事業を展開。

写真：株式会社いえらぶGROUP
管理部システムオペレーション課主任　横地信吾氏

導入前の課題

いえらぶCLOUDが全国に急拡大していくなか、お客様である不動産会社からWAF導入の有無を問われるケースが増加していた
仕様やトラブルなどにより、いえらぶCLOUDのシステムに適したWAFが見つからなかった

導入後の効果

導入実績や知名度が高い攻撃遮断くんの導入により、お客様からの高い信頼を期待できている
丁寧かつ迅速なサポートにより、セキュリティ対策のリソース不足を解消できた

不動産業務を支援するいえらぶCLOUDに導入

攻撃遮断くんを導入したサービスをお聞かせください。

不動産会社様における成果の最大化と業務効率化を目的に、賃貸・売買・管理すべてに対応したオールインワンの不動産業務支援システム、いえらぶCLOUDに攻撃遮断くんを導入しました。いえらぶCLOUDは不動産業務支援に特化しており、リーシング・賃貸管理システムからホームページ制作、顧客管理、専門コンサルティングまでサポートするクラウドシステムとして全国の不動産会社様にご愛顧いただいております。

管理部システムオペレーション課の役割についてお聞かせください。

大きく分けると3つの役割があります。一つ目はサーバやネットワークなどインフラ周辺の運用・保守、二つ目は当社が提供しているサービスの品質管理、三つ目は情報セキュリティの部分です。プライバシーマークやISO27001（情報セキュリティマネジメントシステム：ISMS）などの情報セキュリティの運用・保守、そして今回の攻撃遮断くん導入も我々の部門が主幹しています。

サービスの安心・安全を担保するためWAFが必要不可欠

攻撃遮断くん導入の背景をお聞かせください。

いえらぶCLOUDの全国展開が拡大するにつれ、お客様である不動産会社様からセキュリティ対策を問われるケースが増えてきました。これが攻撃遮断くん導入の背景になります。もちろん、ファイアウォールなど一般的なセキュリティ対策は行ってきました。さらに、開発においては脆弱性が発生しないようにセキュアコーディングを心がけるなど、当社としてはこれまでも幾多のセキュリティ対策に取り組んできました。

そうしたなか、当社のお客様との取引の中で、明確にWAFの導入有無を問われることがありました。当社のセキュリティ対策には理解を示しつつも、万が一に備えてWAFの導入は必須とのことでした。商談ではWAFだけが問題視されていたわけではありませんが、WAFを導入しなければ商談が前進しないのも事実。これを踏まえ、いえらぶCLOUDのセキュリティ対策を強化するにはWAFの導入が必須と考え、WAFの製品選定を行うことになりました。

導入を検討したWAFについてお聞かせください。

2021年3月、最初に検討したのはAWS WAFです。システム本体とは別に一部のサービスをAWSで提供していたこともあり、工夫すればシステム全体にAWS WAFを導入できるのではないかと考えた次第です。

実際に行ったのはAWSのCDNサービス、Amazon CloudFrontを経由してAWS WAFを設置する方法です。ところが、アクセスの上限があってどうしても入れることができませんでした。セキュリティ対策に特化した技術力があれば対応できたかもしれませんが、残念ながら当社のリソースには限界があり、対応できませんでした。

唯一、攻撃遮断くんのサーバセキュリティタイプが快適に動作

ほかに検討したWAFについても教えてください。

2021年9月、Web検索やさまざまな情報サイトを参考に、導入実績とコストなどを重視して攻撃遮断くんを含む3つのWAFをピックアップしました。そして、PoC（Proof ofConcept：概念実証）を通じ、その3製品の比較・検討を行いました。

そして、最終的に当社のWAFとして選定したのが攻撃遮断くんです。他2社に比べて、当社のシステムに合うものが攻撃遮断くんのみでした。導入を断念した1社はリクエストURLの中にスラッシュが連続する箇所があった場合、シングルスラッシュに強制的に変換してしまう仕様が問題となりました。連続スラッシュを入れている箇所で、どうしても動作がストップしてしまうのです。仕様のため、これ以上対処することができず、その製品は選定リストから外しました。

もう1社の製品は、突然動作が重くなるという現象が発生していました。未だに原因が分かっていません。どちらにしても、サービスに影響が出てしまうということで、こちらも導入を断念しました。

サイバーセキュリティクラウドからの提案では、攻撃遮断くんのサーバセキュリティタイプなら、スラッシュの問題はないとのこと。また、サーバにエージェントをインストールする仕組みのため、動作の重さというトラブルは起こりにくいと説明を受けました。

実際、テスト環境で二週間、本番環境で一週間のPoCを行いましたが、まったく問題は起きませんでした。マニュアルにあるテスト用のURLでブロック機能も検証。WAFの有効性を実感することができました。これにより、2021年末に攻撃遮断くんを導入いたしました。

不正アクセスの可視化とログによる分析が可能

攻撃遮断くんを導入した感想をお聞かせください。

海外のbotなどによる不審なアクセスは、一週間あたり平均500件ほどあります。正直、想定以上の数です。とりあえず、実害のある不正アクセスではないため、大きなトラブルはありません。当社としては、こうしたアクセスを可視化できたことを高く評価しています。

当社としては、WAFの要件をクリアできたことで、今後、お客様へも安心して当社のサービスを勧めることができそうです。

攻撃遮断くんを導入して効果は得られましたか。

サイバー攻撃の知見を得られたのが大きな効果だと感じています。例えば、さまざまなサーバの設定ファイルを探索するリクエストや、クロスサイトスクリプティング、SQLインジェクションなどの攻撃を実行しようとする痕跡をログから探ることができます。これまでは、「こうした攻撃があるかもしれない」と想定するだけでしたが、ログをもとに分析できるのは大きな進歩だと思っています。