クラウド型WAF 攻撃遮断くん 導入事例 
株式会社インターファクトリー

事例一覧へ >>
image image
「攻撃遮断くん」を導入した、クラウドコマースプラットフォーム「ebisumart」を提供するインターファクトリーのCTO である水野謙氏と、「攻撃遮断くん」を提供するサイバーセキュリティクラウドの代表取締役 CTOである渡辺洋司氏の2人が、ECサイトを取り巻くセキュリティの実態やWAFの優位性について行った対談をご紹介します。

写真左:株式会社インターファクトリー CTO 水野謙氏
写真右:株式会社サイバーセキュリティクラウド 代表取締役 CTO 渡辺洋司氏

サイバー攻撃はコロナ禍においても衰えることなく続いている

最初に、お二人の役割について教えてください。

水野謙氏(以下、水野氏):インターファクトリーでは、EC サイトを開設し運営したいお客様向けにクラウドコマースプラットフォーム 「ebisumart」をご提供しています。私はそのサービスを中心に、セキュリティをはじめとする技術的なこと全般を見ています。

渡辺洋司氏(以下、渡辺氏):サイバーセキュリ ティクラウドの代表取締役 CTO を務めております。会社の経営全般のことはもちろんのこと、CTO としては、主に、弊社の主要サービスである「攻撃遮断くん」と「WafCharm」における、開発方針、サポート品質のチェック、セールスやマーケティングなどの数字を見ています。

ebisumart について教えてください。

水野氏:ebisumart はEC パッケージとASP の両システムのメリットを兼ね備え、常に最新・最適化されたEC サイトの構築ができるクラウドコマースプラットフォームです。 弊社にとってのお客様は、EC サイトの運営者ということになります。

image
ebisumart の特長は、常に標準機能がアップデートされつつ、お客様が必要とする機能を追加してカスタマイズすることが 可能な点です。通常、EC パッケージをカスタマイズするためにはパッケージを購入して手を加えます。しかしながら、パッケージ自体がアップ デートされたときに、それをそのまま適用することができません。また、ASP の場合は自由なカスタマイズが難しいとされています。

ebisumart はどちらのメリットも兼ね備えたEC プラットフォームです。

最近のセキュリティ動向をどう捉えていますか?

水野氏:EC サイトを運営するお客様は、エンドユーザーの個人情報を集めていますから、万一 それが漏えいしてしまうと大きなインパクトになります。そのためお客様のセキュリティに対する意識も、その先にいるエンドユーザーの関心も高まっていると思います。また、実際に攻撃を試みる不審なアクセスも非常に多くなっています。

渡辺氏:水野さんの言うように、脆弱性を探るスキャン活動は高頻度で観測しています。コロナ禍においてもサイバー攻撃は衰えることなく続いています。最近では、リバースブルートフォー ス攻撃も増えていますし、API により外部と連携するサイトも増えていますので、たとえばAPI 連携による外部決済の部分を攻撃するケースも増えています。

WAF が必要な理由について、どうお考えで すか?

水野氏:背景として、お客様の意識の高まりがあると思いま す。「セキュリティに終わりはない」とよく言われますが、どこまで対策すべきかを考えたときに、 システムの外側に壁を一枚置い てブロックできるWAF は有効な選択肢になります。追加の対策として非常に安心感を得られると思います。

渡辺氏:セキュリティ対策はWAF だけで守れるというわけではありません。WAF は、基本的なセキュリティ対策を実施した上で運用するものです。 それをきちんとお客様に伝えることで、ビジネスの大事な土台の一つになると考えています。また、 新しい攻撃や新しい脆弱性は日々出てきますので、 できる限り早く対処できるよう努力しています。

お客様のことを考えた結果、特殊な環境に。 そこに対応できた「攻撃遮断くん」

ebisumart にWAF を導入するきっかけは何だったのでしょう。

水野氏:WAF という言葉が世の中に広まってきたときに、一度は導入を検討しました。ですが当時のWAF はハードウエアやソフトウエアを自社に導入するタイプでしたので、管理・運用の手間がかかることから見送りました。

その後、再び WAF を検討したのは、世の中の状況の変化と前述したようなシステムの外側に壁を一枚設けるという、さらなる対策が求められるようになってきたためです。それをお客様に安心材料として説明する必要性が出てきたことが背景としてありました。

数あるWAF の中から「攻撃遮断くん」を選んだ理由は何でしょう。

水野氏:WAF がクラウドサービスとして提供されるようになり、管理・運用を任せられるようになったことが第一ですが、その中でも「攻撃遮断くん」を選んだのは大きく二つの理由があります。

一つ目の理由は、ebisumart の仕組みです。一つのEC サイトであれば一つのWAF を導入すれば対応できますが、ebisumart は複数のサーバーそれぞれに複数の店舗が稼働しているため、一括で導入することができません。

なぜ一括で導入できないかというと、お客様ごとにWAF を「使う・使わない」ことを選べるプランにしたかったことや、ebisumart では決済などの拡張機能を自由に選べるようにしているため、WAF のルールの設定を店舗ごとに変更できるようにする必要がありました。「攻撃遮断くん」は、その特殊で複雑な状況に対して柔軟に対応していただけました。

もう一つの理由は、その複雑な状況に対する料金体系も柔軟に対応していただけたことです。その二つのポイントが「攻撃遮断くん」を選んだ大きな理由です。

サイバーセキュリティクラウドでは、どのように対応したのでしょう。

渡辺氏:インターファクトリー様のご希望に添えるよう、かなりのカスタマイズをしました。

image
しっかりと守られたEC サイトをお客様に提供したいという気持ちが強く伝わりましたので、私たちもその思いに応えたいと頑張りました。きちんと検証して確認していただきながら仕様を決めて、相談と提案を繰り返しながら煮詰めていきました。ときには、両社のエンジニアが直接、深い議論をする場面もありました。

導入後の状況はいかがですか?

水野氏:WAF の特性上、導入効果を数字で表すのは難しいのですが、管理・運用にほとんど工数がかからないため、負担にならないことが大きいです。そして、お客様に対してインターファクトリーがセキュリティ対策を頑張っているということをしっかりアピールできるようになったことは成果といえます。

サイバーセキュリティクラウドで工夫してい ることはありますか?

渡辺氏:サイバーセキュリティクラウドでは、セキュリティの専門研究チームとして「Cyhorus(サイフォルス)」を立ち上げています。私も所属していますが、ここでは脆弱性のリサーチ、新しく発表された脆弱性にどういうルール付けをすべきか、現在の運用において問題がないかなどを適宜確認してルールをチューニングするなどを通常運用として行っています。また、緊急の脆弱性が公開されたときには攻撃手法を確認して、必要があればルールを作成して配布しています。

転売屋によるボットは EC サイト全体の大きな問題

今後の展開について教えてください。

水野氏:ebisumart の性能向上は大きな課題です。現在よりもっとたくさんのアクセスに対応していきたいと考えています。ターゲットは、大規模EC 事業者様です。実際に、新商品の発売などでたくさんのエンドユーザーがEC サイトに訪れるお客様が増えてきていますので、そういったお客様のためにebisumart の性能をもっと良くしていかなければなりません。また、そういったお客様はセキュリティの意識が高いので、求められるセキュリティレベルも高くなります。そのため、WAF も合わせて対応していく必要があります。そういう意味では「攻撃遮断くん」がパフォーマンス面で問題になったことはありません。

渡辺氏:EC サイトでは、攻撃するためのボットではなく、購入を自動化するためのボットが問題になっていますが、ebisumart ではどうなのでしょうか?

水野氏:もちろんあります。それが直近の課題になっています。渡辺さんのご指摘の通り、ボットには二種類あります。一つは悪意のあるもので、サイトをダウンさせるために頻繁にアクセスをかけてきたりします。もう一つは、いわゆる転売屋による不正購入につながるようなボットです。これが非常にやっかいで頭を悩ませています。

転売屋によるボットは、リクエストの内容は正規のものですので、何も問題はありません。一般のエンドユーザーのようにアクセスし、購入しているのですが、その数が非常に多いのです。そうすると、サイトが高負荷になっても一般のエンドユーザーよりも素早いアクセスが可能になり、たくさん購入できます。そのためすぐに売り切れになってしまう。そして転売屋は、大量に購入した商品を高額で販売するのです。

見方によっては、EC サイトは正しく動いていて、売上も上がっています。ですが、転売屋は望まれていません。売り手が本当に届けたい相手に届けられる機会が減ってしまうのは大きな問題です。

渡辺氏:ebisumart では、どのように対策しているのですか?

水野氏:詳細はお話できませんが、転売屋によるボットに特有の挙動を見つけ出してアクセスを遮断するようにしています。しかし、サイバー攻撃と同じでイタチごっこになりますので、こちらの対応に気づかれたら転売屋も挙動を変えてきます。コストや手間を考えると、どこまで対応すればいいのか悩ましい問題なのです。「攻撃遮断くん」でそこを自動化することが実現できたら非常にうれしいですし、大きなメリットになると思います。

「攻撃遮断くん」の今後の展望を教えてください。

渡辺氏:AI のリアルタイム化を実現したいと考えています。AI のリアルタイム化で難しいところは、なぜそのように判断したかという判断基準です。それを説明できる上でAI を導入したい。これは少し中期的な目標ですね。

また、研究開発で取り組み始めているのが、先ほどのボットの課題です。水野さんがおっしゃった通り、EC サイトのお客様は非常に課題感を持たれています。転売屋のボットは、WAF としては正常なアクセスになってしまうので、そこをどう検知するか。アクセスのシークエンスといった振る舞いベースで見つけるなど、目下のところ取り組んでいます。

これは長く取り組んでいることなのですが、それをちゃんとプロダクトに乗せていくことを目指したいと思っています。そのときはぜひ、ebisumart にも導入していただきたいですね。一番の課題は、私たちはEC サイトの運営者ではないので、ボットが来て困っているという状態を私たちが感じていないことでした。まずは、その点についてヒアリングさせていただければうれしいですね。EC サイトを運営するお客様は本当に困っていると感じています。実際にお金をかければ解決できるものでありつつもイタチごっこなので、コストに対するバリューとして納得感のあるものをサイバーセキュリティクラウドとして出せたらいいなと思っています。

EC サイトはエンドユーザーに商品を提供するものですが、その運営には様々な課題や障害があるのですね。特に、アクセスとしては正当な転売屋のボットは大きな問題であると感じました。水野さん、渡辺さん、本日はありがとうございました。

その他の導入事例をまとめ
てダウンロードできます。

その他のクラウド型WAF 導入事例 攻撃遮断くん導入事例

株式会社ファンコミュニケーションズ

株式会社ファンコミュニケーションズ

株式会社ファンコミュニケーションズ様は、国内最大級の 成功報酬型アドネットワークを提供する企業です。 アフィリエイトサービスのA8.netやMoba8.netをはじめ、 スマートフォン向けアド...続きを見る>>

ECのミカタ株式会社

ECのミカタ株式会社

ECのミカタ株式会社では、ネットショップ事業者向けのセミナー・Web媒体・紙媒体を運営しています。軸となるWEBメディア事業では、ニュース媒体をはじめ、ネットショップ運営を支援するビ...続きを見る>>

株式会社アールオーアイ

株式会社アールオーアイ

株式会社アールオーアイは、「ファンくる」「ぐるリザ」のサービスを展開しており、飲食店経営やオープン販促など、「食」に関するノウハウをもとに、多くの飲食店などの有店舗ビジネスか...続きを見る>>

全国信用金庫厚生年金基金

全国信用金庫厚生年金基金

全国信用金庫厚生年金基金(通称/信用金庫年金)は、全国の信用金庫業界で働く役職員の皆さんの退職後の暮らしを支えることを目的に設立・運営されています。

続きを見る>>
ギークス株式会社

ギークス株式会社

フリーランスの技術者と企業をつなぐマッチングサイト「geechs job(ギークスジョブ)」を運営するギークス様。 この事業の他にも、ソーシャルゲームや各種アプリの開発、映像・動画制作...続きを見る>>

株式会社八重洲出版

株式会社八重洲出版

東京・八丁堀にオフィスを構える八重洲出版様。 車や自転車・バイクの話題を中心に、数多くの雑誌やムックを発刊されています。

続きを見る>>
株式会社HDR

株式会社HDR

株式会社HDRは、アパレル製品の販売並びに輸出入を始め、太陽光発電事業、全国的なイベントの開催・運営など、様々な事業を展開しています。 導入事例のロゴにもなっているHDRの代表的な...続きを見る>>

株式会社ラネクシー

株式会社ラネクシー

株式会社ラネクシーが提供する「Ashiato通信」は、ICタグやFeliCaカードを使った保護者様への登下校状況通知や、出欠管理、一斉連絡メールを、子ども達を預かる学校、学童保育、学習塾、...続きを見る>>

株式会社エヌリンクス

株式会社エヌリンクス

学習塾探しの「塾予備校ナビ」、物件探しの「家AGENT」などのメディアを運営されているエヌリンクス様。 誰もが求める条件にぴったりの塾・予備校や住まいに出会える場を築いていらっしゃ...続きを見る>>

株式会社イオシス

株式会社イオシス

イオシス様はスマホ・携帯・パソコンの販売・買い取りサービスを行っております。 日本を代表する電気街の東京・秋葉原、大阪・日本橋、名古屋などに、合計で8つの実店舗を展開していま...続きを見る>>

株式会社タカラッシュ

株式会社タカラッシュ

実在の場所を舞台に、「リアル宝探し」イベントの企画運営を行うタカラッシュ様。 子供も大人も楽しめる宝探しは、町おこし・商品プロモーションだけでなく、社員研修や修学旅行のプログ...続きを見る>>

株式会社メトロコンピュータサービス

株式会社メトロコンピュータサービス

コンピュータトータルシステム、ソフトウェアの設計・開発・販売及びコンピュータ等各種情報機器の販売を行っている株式会社メトロコンピュータサービス。 書店トータルシステムの開発に...続きを見る>>

ペイレスイメージズ株式会社

ペイレスイメージズ株式会社

「ペイレスイメージズ」は、高品質写真・イラスト素材を低価格で販売しているストックフォトサービスです。 人物写真からイラストまですべてのカテゴリをカバーし、特に日本関連の写真は...続きを見る>>

株式会社ミルフィーユプラス

株式会社ミルフィーユプラス

株式会社ミルフィーユプラス様は「こんなアニメTシャツあったら良いのに!!」というファンの気持ちに応える、アニメTシャツ商品化支援サービス『ani-t(読み:アニティー)』を運営しており...続きを見る>>

事例集をダウンロードする

Webサイトをサイバー攻撃から
守るなら
攻撃遮断くん 攻撃遮断くん

ご利用お申し込み、お見積り依頼、
Webセキュリティに関する相談はこちらから!

資料をダウンロードする