サイバー攻撃はコロナ禍においても衰えることなく続いている
――最初に、お二人の役割について教えてください。
水野謙氏(以下、水野氏) :インターファクトリーでは、ECサイトを開設し運営したいお客様向けにクラウドコマースプラットフォーム「ebisumart」をご提供しています。私はそのサービスを中心に、セキュリティをはじめとする技術的なこと全般を見ています。
渡辺洋司氏(以下、渡辺氏):サイバーセキュリティクラウドの代表取締役社長兼CTOを務めております。会社の経営全般のことはもちろんのこと、CTOとしては、主に、弊社の主要サービスである「攻撃遮断くん」と「WafCharm」における、開発方針、サポート品質のチェック、セールスやマーケティングなどの数字を見ています。
株式会社サイバーセキュリティクラウド 代表取締役社長 兼 CTO 渡辺洋司氏(写真右)
株式会社インターファクトリー CTO 水野謙氏(写真左)
――ebisumartについて教えてください。
水野氏:ebisumartはECパッケージとASPの両システムのメリットを兼ね備え、常に最新・最適化されたECサイトの構築ができるクラウドコマースプラットフォームです。
弊社にとってのお客様は、ECサイトの運営者ということになります。ebisumartの特長は、常に標準機能がアップデートされつつ、お客様が必要とする機能を追加してカスタマイズすることが可能な点です。通常、ECパッケージをカスタマイズするためにはパッケージを購入して手を加えます。しかしながら、パッケージ自体がアップデートされたときに、それをそのまま適用することができません。また、ASPの場合は自由なカスタマイズが難しいとされています。ebisumartはどちらのメリットも兼ね備えたECプラットフォームです。
――最近のセキュリティ動向をどう捉えていますか?
水野氏:ECサイトを運営するお客様は、エンドユーザーの個人情報を集めていますから、万一それが漏えいしてしまうと大きなインパクトになります。そのためお客様のセキュリティに対する意識も、その先にいるエンドユーザーの関心も高まっていると思います。また、実際に攻撃を試みる不審なアクセスも非常に多くなっています。
渡辺氏:水野さんの言うように、脆弱性を探るスキャン活動は高頻度で観測しています。コロナ禍においてもサイバー攻撃は衰えることなく続いています。最近では、リバースブルートフォース攻撃も増えていますし、APIにより外部と連携するサイトも増えていますので、たとえばAPI連携による外部決済の部分を攻撃するケースも増えています。
――WAFが必要な理由について、どうお考えですか?
[画像クリックで拡大]
水野氏:背景として、お客様の意識の高まりがあると思います。「セキュリティに終わりはない」とよく言われますが、どこまで対策すべきかを考えたときに、システムの外側に壁を一枚置いてブロックできるWAFは有効な選択肢になります。追加の対策として非常に安心感を得られると思います。
渡辺氏:セキュリティ対策はWAFだけで守れるというわけではありません。WAFは、基本的なセキュリティ対策を実施した上で運用するものです。それをきちんとお客様に伝えることで、ビジネスの大事な土台の一つになると考えています。また、新しい攻撃や新しい脆弱性は日々出てきますので、できる限り早く対処できるよう努力しています。
お客様のことを考えた結果、特殊な環境に。そこに対応できた「攻撃遮断くん」
――ebisumartにWAFを導入するきっかけは何だったのでしょう。
水野氏:WAFという言葉が世の中に広まってきたときに、一度は導入を検討しました。ですが当時のWAFはハードウエアやソフトウエアを自社に導入するタイプでしたので、管理・運用の手間がかかることから見送りました。その後、再びWAFを検討したのは、世の中の状況の変化と前述したようなシステムの外側に壁を一枚設けるという、さらなる対策が求められるようになってきたためです。それをお客様に安心材料として説明する必要性が出てきたことが背景としてありました。
――数あるWAFの中から「攻撃遮断くん」を選んだ理由は何でしょう。
水野氏:WAFがクラウドサービスとして提供されるようになり、管理・運用を任せられるようになったことが第一ですが、その中でも「攻撃遮断くん」を選んだのは大きく二つの理由があります。一つ目の理由は、ebisumartの仕組みです。一つのECサイトであれば一つのWAFを導入すれば対応できますが、ebisumartは複数のサーバーそれぞれに複数の店舗が稼働しているため、一括で導入することができません。
なぜ一括で導入できないかというと、お客様ごとにWAFを「使う・使わない」ことを選べるプランにしたかったことや、ebisumartでは決済などの拡張機能を自由に選べるようにしているため、WAFのルールの設定を店舗ごとに変更できるようにする必要がありました。
「攻撃遮断くん」は、その特殊で複雑な状況に対して柔軟に対応していただけました。もう一つの理由は、その複雑な状況に対する料金体系も柔軟に対応していただけたことです。その二つのポイントが「攻撃遮断くん」を選んだ大きな理由です。
――サイバーセキュリティクラウドでは、どのように対応したのでしょう。
渡辺氏:インターファクトリー様のご希望に添えるよう、かなりのカスタマイズをしました。しっかりと守られたECサイトをお客様に提供したいという気持ちが強く伝わりましたので、私たちもその思いに応えたいとがんばりました。きちんと検証して確認していただきながら仕様を決めて、相談と提案を繰り返しながら煮詰めていきました。ときには、両社のエンジニアが直接、深い議論をする場面もありました。
――導入後の状況はいかがですか?
水野氏:WAFの特性上、導入効果を数字で表すのは難しいのですが、管理・運用にほとんど工数がかからないため、負担にならないことが大きいです。そして、お客様に対してインターファクトリーがセキュリティ対策を頑張っているということをしっかりアピールできるようになったことは成果といえます。
――サイバーセキュリティクラウドで工夫していることはありますか
渡辺氏:サイバーセキュリティクラウドでは、セキュリティの専門研究チームとして「Cyhorus(サイフォルス)」を立ち上げています。私も所属していますが、ここでは脆弱性のリサーチ、新しく発表された脆弱性にどういうルール付けをすべきか、現在の運用において問題がないかなどを適宜確認してルールをチューニングするなどを通常運用として行っています。また、緊急の脆弱性が公開されたときには攻撃手法を確認して、必要があればルールを作成して配布しています。
[画像クリックで拡大]
転売屋によるボットはECサイト全体の大きな問題
――今後の展開について教えてください。
水野氏:ebisumartの性能向上は大きな課題です。現在よりもっとたくさんのアクセスに対応していきたいと考えています。ターゲットは、大規模EC事業者様です。実際に、新商品の発売などでたくさんのエンドユーザーがECサイトに訪れるお客様が増えてきていますので、そういったお客様のためにebisumartの性能をもっと良くしていかなければなりません。
また、そういったお客様はセキュリティの意識が高いので、求められるセキュリティレベルも高くなります。そのため、WAFも合わせて対応していく必要があります。そういう意味では「攻撃遮断くん」がパフォーマンス面で問題になったことはありません。
渡辺氏:ECサイトでは、攻撃するためのボットではなく、購入を自動化するためのボットが問題になっていますが、ebisumartではどうなのでしょうか?
水野氏:もちろんあります。それが直近の課題になっています。渡辺さんのご指摘の通り、ボットには二種類あります。一つは悪意のあるもので、サイトをダウンさせるために頻繁にアクセスをかけてきたりします。もう一つは、いわゆる転売屋による不正購入につながるようなボットです。これが非常にやっかいで頭を悩ませています。
転売屋によるボットは、リクエストの内容は正規のものですので、何も問題はありません。一般エンドユーザーのようにアクセスし、購入しているのですが、その数が非常に多いのです。そうすると、サイトが高負荷になっても一般のエンドユーザーよりも素早いアクセスが可能になり、たくさん購入できます。そのためすぐに売り切れになってしまう。そして転売屋は、大量に購入した商品を高額で販売するのです。
見方によっては、ECサイトは正しく動いていて、売上も上がっています。ですが、転売屋は望まれていません。売り手が本当に届けたい相手に届けられる機会が減ってしまうのは大きな問題です。
渡辺氏:ebisumartでは、どのように対策しているのですか?
水野氏:詳細はお話できませんが、転売屋によるボットに特有の挙動を見つけ出してアクセスを遮断するようにしています。しかし、サイバー攻撃と同じでイタチごっこになりますので、こちらの対応に気づかれたら転売屋も挙動を変えてきます。コストや手間を考えると、どこまで対応すればいいのか悩ましい問題なのです。「攻撃遮断くん」でそこを自動化することが実現できたら非常にうれしいですし、大きなメリットになると思います。
――「攻撃遮断くん」の今後の展望を教えてください。
渡辺氏:AIのリアルタイム化を実現したいと考えています。AIのリアルタイム化で難しいところは、なぜそのように判断したかという判断基準です。それを説明できる上でAIを導入したい。これは少し中期的な目標ですね。
また、研究開発で取り組み始めているのが、先ほどのボットの課題です。水野さんがおっしゃった通り、ECサイトのお客様は非常に課題感を持たれています。転売屋のボットは、WAFとしては正常なアクセスになってしまうので、そこをどう検知するか。アクセスのシークエンスといった振る舞いベースで見つけるなど、目下のところ取り組んでいます。
これは長く取り組んでいることなのですが、それをちゃんとプロダクトに乗せていくことを目指したいと思っています。そのときはぜひ、ebisumartにも導入していただきたいですね。
一番の課題は、私たちはECサイトの運営者ではないので、ボットが来て困っているという状態を私たちが感じていないことでした。まずは、その点についてヒアリングさせていただければうれしいですね。ECサイトを運営するお客様は本当に困っていると感じています。実際にお金をかければ解決できるものでありつつもイタチごっこなので、コストに対するバリューとして納得感のあるものをサイバーセキュリティクラウドとして出せたらいいなと思っています。
――ECサイトはエンドユーザーに商品を提供するものですが、その運営には様々な課題や障害があるのですね。特に、アクセスとしては正当な転売屋のボットは大きな問題であると感じました。水野さん、渡辺さん、本日はありがとうございました。
