クラウド型WAF 攻撃遮断くん 導入事例　
株式会社インターファクトリー

水野謙氏（以下、水野氏）：インターファクトリーでは、EC サイトを開設し運営したいお客様向けにクラウドコマースプラットフォーム 「ebisumart」をご提供しています。私はそのサービスを中心に、セキュリティをはじめとする技術的なこと全般を見ています。

渡辺洋司氏（以下、渡辺氏）：サイバーセキュリ ティクラウドの代表取締役 CTO を務めております。会社の経営全般のことはもちろんのこと、CTO としては、主に、弊社の主要サービスである「攻撃遮断くん」と「WafCharm」における、開発方針、サポート品質のチェック、セールスやマーケティングなどの数字を見ています。

水野氏：ebisumart はEC パッケージとASP の両システムのメリットを兼ね備え、常に最新・最適化されたEC サイトの構築ができるクラウドコマースプラットフォームです。 弊社にとってのお客様は、EC サイトの運営者ということになります。

水野氏：EC サイトを運営するお客様は、エンドユーザーの個人情報を集めていますから、万一 それが漏えいしてしまうと大きなインパクトになります。そのためお客様のセキュリティに対する意識も、その先にいるエンドユーザーの関心も高まっていると思います。また、実際に攻撃を試みる不審なアクセスも非常に多くなっています。

渡辺氏：水野さんの言うように、脆弱性を探るスキャン活動は高頻度で観測しています。コロナ禍においてもサイバー攻撃は衰えることなく続いています。最近では、リバースブルートフォー ス攻撃も増えていますし、API により外部と連携するサイトも増えていますので、たとえばAPI 連携による外部決済の部分を攻撃するケースも増えています。

水野氏：背景として、お客様の意識の高まりがあると思いま す。「セキュリティに終わりはない」とよく言われますが、どこまで対策すべきかを考えたときに、 システムの外側に壁を一枚置い てブロックできるWAF は有効な選択肢になります。追加の対策として非常に安心感を得られると思います。

渡辺氏：セキュリティ対策はWAF だけで守れるというわけではありません。WAF は、基本的なセキュリティ対策を実施した上で運用するものです。 それをきちんとお客様に伝えることで、ビジネスの大事な土台の一つになると考えています。また、 新しい攻撃や新しい脆弱性は日々出てきますので、 できる限り早く対処できるよう努力しています。

水野氏：WAF という言葉が世の中に広まってきたときに、一度は導入を検討しました。ですが当時のWAF はハードウエアやソフトウエアを自社に導入するタイプでしたので、管理・運用の手間がかかることから見送りました。

その後、再び WAF を検討したのは、世の中の状況の変化と前述したようなシステムの外側に壁を一枚設けるという、さらなる対策が求められるようになってきたためです。それをお客様に安心材料として説明する必要性が出てきたことが背景としてありました。

水野氏：WAF がクラウドサービスとして提供されるようになり、管理・運用を任せられるようになったことが第一ですが、その中でも「攻撃遮断くん」を選んだのは大きく二つの理由があります。

一つ目の理由は、ebisumart の仕組みです。一つのEC サイトであれば一つのWAF を導入すれば対応できますが、ebisumart は複数のサーバーそれぞれに複数の店舗が稼働しているため、一括で導入することができません。

なぜ一括で導入できないかというと、お客様ごとにWAF を「使う・使わない」ことを選べるプランにしたかったことや、ebisumart では決済などの拡張機能を自由に選べるようにしているため、WAF のルールの設定を店舗ごとに変更できるようにする必要がありました。「攻撃遮断くん」は、その特殊で複雑な状況に対して柔軟に対応していただけました。

もう一つの理由は、その複雑な状況に対する料金体系も柔軟に対応していただけたことです。その二つのポイントが「攻撃遮断くん」を選んだ大きな理由です。

渡辺氏：インターファクトリー様のご希望に添えるよう、かなりのカスタマイズをしました。

水野氏：WAF の特性上、導入効果を数字で表すのは難しいのですが、管理・運用にほとんど工数がかからないため、負担にならないことが大きいです。そして、お客様に対してインターファクトリーがセキュリティ対策を頑張っているということをしっかりアピールできるようになったことは成果といえます。

渡辺氏：サイバーセキュリティクラウドでは、セキュリティの専門研究チームとして「Cyhorus（サイフォルス）」を立ち上げています。私も所属していますが、ここでは脆弱性のリサーチ、新しく発表された脆弱性にどういうルール付けをすべきか、現在の運用において問題がないかなどを適宜確認してルールをチューニングするなどを通常運用として行っています。また、緊急の脆弱性が公開されたときには攻撃手法を確認して、必要があればルールを作成して配布しています。

水野氏：ebisumart の性能向上は大きな課題です。現在よりもっとたくさんのアクセスに対応していきたいと考えています。ターゲットは、大規模EC 事業者様です。実際に、新商品の発売などでたくさんのエンドユーザーがEC サイトに訪れるお客様が増えてきていますので、そういったお客様のためにebisumart の性能をもっと良くしていかなければなりません。また、そういったお客様はセキュリティの意識が高いので、求められるセキュリティレベルも高くなります。そのため、WAF も合わせて対応していく必要があります。そういう意味では「攻撃遮断くん」がパフォーマンス面で問題になったことはありません。

渡辺氏：EC サイトでは、攻撃するためのボットではなく、購入を自動化するためのボットが問題になっていますが、ebisumart ではどうなのでしょうか？

水野氏：もちろんあります。それが直近の課題になっています。渡辺さんのご指摘の通り、ボットには二種類あります。一つは悪意のあるもので、サイトをダウンさせるために頻繁にアクセスをかけてきたりします。もう一つは、いわゆる転売屋による不正購入につながるようなボットです。これが非常にやっかいで頭を悩ませています。

転売屋によるボットは、リクエストの内容は正規のものですので、何も問題はありません。一般のエンドユーザーのようにアクセスし、購入しているのですが、その数が非常に多いのです。そうすると、サイトが高負荷になっても一般のエンドユーザーよりも素早いアクセスが可能になり、たくさん購入できます。そのためすぐに売り切れになってしまう。そして転売屋は、大量に購入した商品を高額で販売するのです。

見方によっては、EC サイトは正しく動いていて、売上も上がっています。ですが、転売屋は望まれていません。売り手が本当に届けたい相手に届けられる機会が減ってしまうのは大きな問題です。

渡辺氏：ebisumart では、どのように対策しているのですか？

水野氏：詳細はお話できませんが、転売屋によるボットに特有の挙動を見つけ出してアクセスを遮断するようにしています。しかし、サイバー攻撃と同じでイタチごっこになりますので、こちらの対応に気づかれたら転売屋も挙動を変えてきます。コストや手間を考えると、どこまで対応すればいいのか悩ましい問題なのです。「攻撃遮断くん」でそこを自動化することが実現できたら非常にうれしいですし、大きなメリットになると思います。

渡辺氏：AI のリアルタイム化を実現したいと考えています。AI のリアルタイム化で難しいところは、なぜそのように判断したかという判断基準です。それを説明できる上でAI を導入したい。これは少し中期的な目標ですね。

また、研究開発で取り組み始めているのが、先ほどのボットの課題です。水野さんがおっしゃった通り、EC サイトのお客様は非常に課題感を持たれています。転売屋のボットは、WAF としては正常なアクセスになってしまうので、そこをどう検知するか。アクセスのシークエンスといった振る舞いベースで見つけるなど、目下のところ取り組んでいます。

これは長く取り組んでいることなのですが、それをちゃんとプロダクトに乗せていくことを目指したいと思っています。そのときはぜひ、ebisumart にも導入していただきたいですね。一番の課題は、私たちはEC サイトの運営者ではないので、ボットが来て困っているという状態を私たちが感じていないことでした。まずは、その点についてヒアリングさせていただければうれしいですね。EC サイトを運営するお客様は本当に困っていると感じています。実際にお金をかければ解決できるものでありつつもイタチごっこなので、コストに対するバリューとして納得感のあるものをサイバーセキュリティクラウドとして出せたらいいなと思っています。