お客様のことを考えた結果、特殊な環境に。そこに対応できた「攻撃遮断くん」
――ebisumartにWAFを導入するきっかけは何だったのでしょう。
水野氏:WAFという言葉が世の中に広まってきたときに、一度は導入を検討しました。ですが当時のWAFはハードウエアやソフトウエアを自社に導入するタイプでしたので、管理・運用の手間がかかることから見送りました。その後、再びWAFを検討したのは、世の中の状況の変化と前述したようなシステムの外側に壁を一枚設けるという、さらなる対策が求められるようになってきたためです。それをお客様に安心材料として説明する必要性が出てきたことが背景としてありました。
――数あるWAFの中から「攻撃遮断くん」を選んだ理由は何でしょう。
水野氏:WAFがクラウドサービスとして提供されるようになり、管理・運用を任せられるようになったことが第一ですが、その中でも「攻撃遮断くん」を選んだのは大きく二つの理由があります。一つ目の理由は、ebisumartの仕組みです。一つのECサイトであれば一つのWAFを導入すれば対応できますが、ebisumartは複数のサーバーそれぞれに複数の店舗が稼働しているため、一括で導入することができません。
なぜ一括で導入できないかというと、お客様ごとにWAFを「使う・使わない」ことを選べるプランにしたかったことや、ebisumartでは決済などの拡張機能を自由に選べるようにしているため、WAFのルールの設定を店舗ごとに変更できるようにする必要がありました。
「攻撃遮断くん」は、その特殊で複雑な状況に対して柔軟に対応していただけました。もう一つの理由は、その複雑な状況に対する料金体系も柔軟に対応していただけたことです。その二つのポイントが「攻撃遮断くん」を選んだ大きな理由です。
――サイバーセキュリティクラウドでは、どのように対応したのでしょう。
渡辺氏:インターファクトリー様のご希望に添えるよう、かなりのカスタマイズをしました。しっかりと守られたECサイトをお客様に提供したいという気持ちが強く伝わりましたので、私たちもその思いに応えたいとがんばりました。きちんと検証して確認していただきながら仕様を決めて、相談と提案を繰り返しながら煮詰めていきました。ときには、両社のエンジニアが直接、深い議論をする場面もありました。
――導入後の状況はいかがですか?
水野氏:WAFの特性上、導入効果を数字で表すのは難しいのですが、管理・運用にほとんど工数がかからないため、負担にならないことが大きいです。そして、お客様に対してインターファクトリーがセキュリティ対策を頑張っているということをしっかりアピールできるようになったことは成果といえます。
――サイバーセキュリティクラウドで工夫していることはありますか
渡辺氏:サイバーセキュリティクラウドでは、セキュリティの専門研究チームとして「Cyhorus(サイフォルス)」を立ち上げています。私も所属していますが、ここでは脆弱性のリサーチ、新しく発表された脆弱性にどういうルール付けをすべきか、現在の運用において問題がないかなどを適宜確認してルールをチューニングするなどを通常運用として行っています。また、緊急の脆弱性が公開されたときには攻撃手法を確認して、必要があればルールを作成して配布しています。
[画像クリックで拡大]
