クラウド型WAF 攻撃遮断くん導入事例　
株式会社ヨシハラシステムズ

1959年、滋賀県彦根市城町で御用聞きスタイルのクリーニング業を開業。以来、滋賀県を中心に35店舗以上ものクリーニング店を展開。2008年、代表取締役に吉原保氏が就任して以降は、環境問題の取り組みの一環として全工場にドライクリーニング溶剤を回収するための回収乾燥機を設置、全店舗にクラウド型POSシステムを導入するなど、クリーニング業務における革新的な取り組みに従事。2009年には、全国に先駆けてネット宅配クリーニングの「「せんたく便」」をサービスイン。滋賀県を飛び越え、日本全国からクリーニングの依頼を受ける企業へと成長を続けている。

写真：
代表取締役社長吉原保氏

導入前の課題

自社展開するネット宅配クリーニング「せんたく便」登録ユーザー27万人の個人情報を守るセキュリティ対策が早々に必要
サービスを停止しなければいけない等、システムに影響が出るセキュリティ対策は避けたい

導入後の効果

攻撃遮断くんがインシデントも不審なアクセスも可視化＆ブロック
DDoSセキュリティタイプを活用することでシステムに影響なく運用可能

全国初のネット宅配クリーニング「せんたく便」のサービスを開始するなど、クリーニング業界において革新的な取り組みを続けている株式会社ヨシハラシステムズ。今回は同社の代表取締役社長吉原保氏に、攻撃遮断くんを導入した経緯と効果について詳しく伺いました。

全国初のネット宅配クリーニングサービスを開始

攻撃遮断くんを導入した「せんたく便」の概要についてお聞かせください。

「せんたく便」とは、ネットの利便性を徹底追及した宅配クリーニングサービスです。業界のフロントランナーとして、2009年1月からサービスを開始しました。現在、「せんたく便」の登録ユーザーは全国で27万人ほど。おかげさまで、大手リサーチ会社のゼネラルリサーチ社が実施した「宅配クリーニング会社10社を対象にしたサイト比較イメージ調査」では、会社員、主婦が選ぶ宅配クリーニング会社「価格満足度」「利用満足度」「友人に紹介したい宅配クリーニング会社」の3部門でNO.1を獲得しました※。

※ゼネラルリサーチ調べ　調査方法：インターネット調査、調査期間：2019年7月29日～30日、2020年7月4日～6日、調査概要：宅配クリーニング会社10社を対象にしたサイト比較イメージ調査、調査対象：全国の20代～50代の会社員と主婦（2019年度）1,051名、（2020年度）1,113名アンケートモニター
提供元：ゼネラルリサーチ株式会社 https://general-research.co.jp/

サービス拡大で導入したパブリッククラウド

「せんたく便」はどのように運用しているのでしょうか。

「せんたく便」のサービスが徐々に拡大してきた頃、ちょうどサーバーが老朽化してメンテナンスが困難になったことから、新たな運用先を模索することになりました。なるべく多くのリソースをかけずに運用をしたいという背景と、スケールアップやメンテナンスの面を考えて、たどり着いたのはクラウド。今から6年前にパブリッククラウドを利用し始めました。

予期しない不正アクセスが発覚

攻撃遮断くんの導入背景をお聞かせください。

当社のホームページでも掲載させていただきましたが、弊社サービスへの不正アクセスによる個人情報流出が攻撃遮断くんを導入したきっかけです。約5万件のクレジットカード情報が流出した可能性があるとクレジットカード会社から連絡を受け、即座に対応しましたが後の祭り。あらためまして、この場を借りてご迷惑をおかけしたお客様方々に深くお詫びを申し上げます。

なぜこうした事態が起きてしまったのでしょうか。

ひとつはリソース不足が挙げられます。サービス自体のシステムは内製しており、ファイアウォールも設置していました。しかし、サーバーやネットワーク、セキュリティなど基盤系に詳しい人材の確保は、当社のような中小企業にとっては高いハードルです。

インシデントを可視化しブロックするにはWAFが必須

WAFを知ったきっかけをお聞かせください。

今回の事態を厳粛に受け止め、再発防止のための対策を早々に講じなければなりませんでした。そこで、当社とお付き合いのある会社の方々からさまざまアドバイスをいただき、その過程でWAFの存在を知りました。当初、WAFの知識はありませんでしたが、どの会社からもインシデントを可視化しブロックするためには、WAFが必須だと言われ、早速ネットで検索をしたのが始まりでした。

比較・検討したWAFのなかから攻撃遮断くんを選定した理由をお聞かせください。

導入のしやすさとコストを要件に、5製品ほどのWAFをピックアップ。導入後は長く利用するだろうと考えましたから、とくにコストは重視しました。その中から攻撃遮断くんを選定したのは、以下の理由からでした。

DDoSセキュリティタイプのWebサイト入れ放題プランがニーズに合致

＜DNSを切り替えるだけの手軽さ＞
多くのWAFはサーバーにインストールするタイプで、メンテナンスを考えるとリソースが少ない当社では難しいと思いました。その点、攻撃遮断くんにはDNSを切り替えるだけでWAFを設置できるDDoSセキュリティタイプがありました。当社のクラウドとお客様のアクセスとの間に攻撃遮断くんのWAFセンターが設置される仕組みのため、当社のシステムへの変更は一切ありません。この導入のしやすさが攻撃遮断くんを選定したポイントでした。

＜低コストで運用できる＞
「せんたく便」のシステムは同業他社にもOEM提供しており、さらに提供先のシステムも当社が保守している関係上、複数のドメインにWAFを導入したいと考えていました。そんな当社の希望に合致したのが、攻撃遮断くんのWebサイト入れ放題プランです。月額のコストが変わらず複数のドメインに導入できるプランは、まさに当社が求めていたサービスでした。

すべて攻撃遮断くん任せでインシデントをブロック

攻撃遮断くんの評価をお聞かせください。

しっかりとシステムのクレンジングを行ったのち、攻撃遮断くんを導入しました。管理画面のログを参照して「これほど多くのインシデントや不審なアクセスがあるのか」と正直驚いています。1日ゼロという日はなく、最大で1日1万件を超えることもありました。本当に脅威でしかありませんが、まずは「インシデントや不審なアクセスの可視化とブロックができる攻撃遮断くんを導入して良かった」と心の底から思っています。

スピードが遅くなることもありませんでした。お客様にとってはクリーニングを申し込むフロントエンドがメインですから、特定の時間にアクセスが集中するようなことはないのですが、それでも快適なアクセスが保たれているという点は助かっております。

「せんたく便」の管理画面を攻撃遮断くんの中に入れてしまった関係で、管理画面からのデータ出力がタイムアウトしてしまう問題があったのですが、サポートの方の素早い対応と適切なアドバイスのおかげですぐに解決しました。もちろん、これ自体大きな問題ではなく、ほかにトラブルはありません。

何よりも、お任せで運用できるのがありがたいと感じています。当社で何かを設定する必要はなく、すべて攻撃遮断くん任せ。その分、当社のエンジニアのリソースはシステム開発に注力できます。

今回の件でセキュリティに対する意識は高まりましたか。

Pマークの認証は取得済みでしたが、お恥ずかしい話、適切に運用はできていませんでした。しかし、今回のインシデントであらためて情報管理規約や対応マニュアルの整備、社員一人ひとりがそれを理解することが重要だと思いました。そういう意味では、会社全体でセキュリティを考える意識が高まったと言えるかもしれません。

企業規模に関係なくインシデントがあることを理解すべき

セキュリティ対策を検討している企業に向けて、アドバイスがあればお願いします。

基本的なセキュリティ対策は、取り組んできたつもりでした。しかし実際の攻撃に関しては「大手企業のような所のみが狙われる」と意識のどこかでそう思っていたのかもしれません。しかし、実際に攻撃を受け、被害を被った当事者としてあらためて今回の出来事を客観視すると、ネットの世界に大手企業や中小企業は関係なく、単なる１つのサーバーだと考える必要があると痛感しました。
同時に「企業規模に関係なくインシデントはある」と身をもって体験しました。そして、起きてからでは遅いことも分かりました。
サイバー攻撃は大手企業だけではなく、中小企業でも被害の対象になります。いつかやろうと考えている間に脅威は迫っています。被害を受けてからの対応とならないためにも、企業規模に関係なく早急な対策実施をすることが重要となってくるでしょう。特に、個人情報を守るためのセキュリティ対策強化を検討している企業様には、早急な取り組みを検討いただくことをおすすめいたします。