「欲しいときに、欲しいものを安心して買える」Webサイトを実現 セブン＆アイグループのbot対策の裏側：“際限のない、いたちごっこ”に終止符

不正アクセス、DDoS攻撃や悪性botなど、WebサイトやWebアプリケーションは日夜攻撃にさらされている。こうした攻撃を防いで適切なサービスを顧客に提供するにはどのような対策が必要なのか。セブン＆アイグループのIT戦略を支える取り組みから学ぶ。

PR／ITmedia

PR

　今やWebサイトやWebアプリケーションは商品の販売はもちろん、会員サービスを通じた高い付加価値の提供といった意味でも顧客との大きな接点となっている。

　だが同時に、Webサイトはさまざまなサイバー攻撃にさらされやすいポイントでもある。脆弱（ぜいじゃく）性を突いた不正アクセスに始まり、大量のトラフィックを送信して正常に利用できなくするDDoS攻撃や悪性bot、Web APIを狙った攻撃が手を替え品を替えやって来る。

　こうした攻撃を防いで顧客に適切なサービスを提供できるように支援するソリューションがWebアプリケーションファイアウォール（WAF）であり、その発展形のWeb Application and API Protection（WAAP）だ。

　Thales傘下でセキュリティソリューションブランドの一つであるImpervaは、長年にわたってオンプレミスインフラからクラウドサービスまで環境を問わずレポートや分析機能も加えた包括的なWAAPソリューションを提供してきた。代表的なものがクラウドベースの「Imperva Cloud WAF」だ。DDos攻撃や悪性botへの対策、API通信の可視化や保護などアプリケーションへのあらゆる攻撃からWebサイトを効率的に保護する機能を持ち、世界で6200社以上の大企業が導入している。本稿はImperva Cloud WAFを10年近く運用し、最近は特に悪質なbot対策に活用しているセブン＆アイ・ネットメディアに導入の背景や効果を尋ねた。

ニーズに応じて幅広い機能を備えるImperva Cloud WAF（提供：タレスDISジャパン。以下同）

「使いたいときに安全・安心に使える状態」を目指す

　コンビニエンスストアやスーパーなどを展開する総合流通グループのセブン＆アイグループは、共通IDとデータ活用、クラウドインフラへの移行といったDXを推進している。

　その戦略を支えているのが、グループ唯一のIT子会社であるセブン＆アイ・ネットメディアだ。グループ各社と連携して顧客向けのECサイトをはじめとするシステムの企画や開発、インフラ設計、運用を担っている。

セブン＆アイ・ネットメディアの川尻清美氏

　その際に重視している要素の一つがセキュリティの確保だ。「安全・安心なサービスを提供し、お客さまが使いたいときに必ず使える状態を維持することが重要です」とセブン＆アイ・ネットメディアの川尻清美氏（運用・クラウド推進本部　本部長）は語る。情報漏えい対策はもちろん、パフォーマンスやスケーラビリティ、アベイラビリティーといった広義のセキュリティを実現するために必要なソリューションの選定や導入を進めてきた。

　新規サービスや改修のリリース時は、「セキュリティ・バイ・デザイン」の考え方でセキュリティレビューや第三者による診断を経た上で提供している。「ビジネス上の都合だけでもセキュリティやシステムの都合だけでもなく、お客さまにサービスを届けるために最善の方法を関係者と合意形成しながら進めています」とセブン＆アイ・ネットメディアの竹内健二氏（運用・クラウド推進本部　クラウド・ソリューション部　ゼネラルマネージャー）は説明する。

　「セキュリティ対策はいたちごっこ」と一般的にいわれる中、同社は攻撃者側が仕掛ける最新の手口や振る舞いを注視しつつ、今後の展開を予測して手を打っている。

統合的な機能を評価し、ミッションクリティカルなシステムを保護

　幅広いシステムの中で特に防御が難しいのが顧客向けのECサイトだ。その性質上、インターネットに公開しなければ役割を果たせないが、必然的に顧客からの正常なアクセスだけでなくさまざまな攻撃にもさらされる。

　ECサイトを保護する多層防御の一つとして、セブン＆アイ・ネットメディアは10年以上WAFを運用してきた。「サイバー攻撃からの防御や可用性が脅かされる急激なアクセス増加といった事態に備えてどういった対策をすべきかを考え、導入しました」（川尻氏）

　当初はシステム基盤がオンプレミスだったことから、ハードウェアアプライアンスの「Imperva SecureSphere アプライアンス」（現在は「Imperva WAF Gateway」に改称）を導入した。「2014年にWAFを選定した際は、複数の調査会社の評価を参考にしました。複数の機能が統合されており、総合的に見て最適だと判断しました」（竹内氏）。それ以前に利用していた他社のWAF製品は誤検知対応などの運用面で課題があったが、Imperva SecureSphere アプライアンスはそうした手間もかからないと評価している。

　その後、グループ各社の基盤のクラウド移行が進んだことから2016年にImperva Cloud WAFを採用した。しばらくはImperva SecureSphere アプライアンスを併用し、2019年にImperva Cloud WAFに一本化した。

　一部のシステムはクラウドサービスのメニューとして提供される他のWAF機能を利用しているが、これらはルールが簡易的であることから必要最低限の防御とセブン＆アイ・ネットメディアは位置付けている。Imperva Cloud WAFは、WAFの機能をはじめレイヤー3、4、7のDDoS対策やコンテンツデリバリーネットワークといった複数の機能を一元的に提供するWAAPであり、1つのダッシュボードで統合管理できることから主に高いサービスレベルが求められるシステムに導入してきた。

Imperva Cloud WAFのサービス構造

Imperva Cloud WAFのセキュリティ対策は多層防御モデルを採用している

　「将来的にリプレースが予想される小さなサービスや始めたばかりのサービスは他社のWAFで保護し、長期利用が確実なミッションクリティカルなシステムはImperva Cloud WAFで保護するなど、システムの重要度やリスクに応じて使い分けています」（竹内氏）と、セキュリティだけでなく運用性やコストなどの各要素で最適なバランスを模索している。

悪質化するbotに対するプロアクティブな対策を

　だが、EC市場が拡大の一途をたどる中で新たな脅威が浮上してきた。人気の高い商品、限定商品を買い占めようとするbotによる大量アクセスやスクレイピングの被害だ。

　botはインターネットが普及した当初から存在しており、同社もImperva WAFの標準ルールを用いて「特定の地域からのアクセスはブロックする」「同一のトークンから一定期間内にしきい値以上のアクセスがあればブロックする」といった具合に一定の対策を講じていた。しかし、それだけでは対処が追い付かなくなった。

　「botは土日や夜間も関係なくやってきます。当初はその都度、われわれだけでなくアプリケーション開発チームや運用チームにも声を掛けて臨戦態勢を取り、手作業でルールを作成して対応していました。けれど現場の努力に頼る運用は長続きせず、破綻するだろうとも思いました」（竹内氏）

　もはや手作業は限界だ、ということで注目したのが「Advanced Bot Protection」（ABP）だった。すでに使い慣れているImperva Cloud WAFと同じプラットフォームでライセンス内の利用ができることから、採用自体はすんなりと決まったという。

　同社は2021年にABPを導入。「これはbotか、そうでないのか」をImpervaやマクニカの技術者、事業会社の関係者と密に会話しながら、1年かけてチューニングした。攻撃通信を遮断するブロックモードに移行して悪性botを制御できるようになり、一旦は落ち着きを見せたという。しかしまた新たな攻撃が発生した。

　「2023年ごろから、人気の高い商品や転売が見込める商品を販売する事業会社のECサイトにbotの大量アクセスが見られるようになりました。時にはサイトダウンにつながる事態も発生したため、本格的なbot対策の必要性を感じました」（竹内氏）

　一連のbotが厄介だったのは、正規の顧客と似たような振る舞いをするため区別しにくい上に、新たなルールを追加して対策してもすぐにそれをかいくぐる新たな方法でアクセスしてくることだった。“際限のない、いたちごっこ”に付き合わされているようなものだった。

　検知漏れをなくして誤検知を防いでいくために、必要なルールのチューニングと運用体制の確立にはしっかりと時間をかけた。2023年には技術サポートを受けられるテクニカルアカウントマネージャー契約を結び、bot対策のチューニングにさらに注力した。

セブン＆アイ・ネットメディアの竹内健二氏

　「Webサイトは生き物ですから、ルールをカスタマイズしても各サイトの特性やbotの手法に合わないことがあるため誤検知をゼロにすることはできません。しかし、Impervaの技術専門チームやテクニカルアカウントマネージャー、Impervaソリューションの国内総代理店であるマクニカの専門チームの支援を通して誤検知の少ないカスタマイズルールの作り方に関する知見を得て、仕様を確認してもらうことで精度が高まりました。製品単体だけでなく運用全体でのメリットを感じています。もっと早くこのサポート体制を活用すればよかったと思うほどです」（竹内氏）

　botの急増を受けて関係者が緊急招集される事態はなくなり、以前は月に数十時間かかっていた対応工数は10時間未満に削減されて担当者らのストレスも軽減した。

　現場の勘や雰囲気ではなく、Impervaのレポートを基に対策前と後の変化を定量的に示せるようになったこともメリットの一つだ。誤検知を懸念する事業会社とのコミュニケーションも円滑になり、合意形成や納得を得るのがより容易になったという。

　何より、新商品の発売があってもWebサイトがダウンする事態がなくなり、「あのWebサイトならば安心して欲しいものが買える」という信頼を確立できつつあることが最大の効果だと感じているそうだ。

　「逸失利益などの数値もさることながら、『botが横行する中でも安心して買い物ができる』という、当たり前と言えば当たり前の環境を保てるようになりました」（川尻氏）。ABPのbot対策によって、広義のセキュリティも含めた高いカスタマーエクスペリエンスを実現した。

顧客やステークホルダーの期待に応えられるセキュリティ対策を模索

　セブン＆アイ・ネットメディアは、これからも顧客が安全に、安心してサービスを利用できる環境の提供を目標に据えている。

　「事業会社と適切にコミュニケーションを取りながら、お客さまはもちろん業務に関わるステークホルダーの期待に応え、多くの方々にサービスを提供するという責任を果たしていきたいと考えています」（川尻氏）

　今後は部門全体でセキュリティに関する教育を実施して人材を育成し、ベースアップに努める計画だ。「せっかく素晴らしい製品や技術があっても、使う側の理解がなければ使いこなせませんし、導入して終わりでもありません。マクニカやThalesから最新の情報を頂きながら、人を軸にさまざまな機会や価値を作っていきたいと思います」（川尻氏）

　何かインシデントがあった際は迅速に問い合わせに対応し、対処方法をディスカッションできるマクニカやタレスの存在は心強いという。両社のデータプロテクションなどのロードマップも参考にしてセブン＆アイ・ネットメディアはセキュリティ対策の取り組みを続けていく。

※本稿は、マクニカ、タレスDISジャパンからの寄稿記事（2025年1月16日の取材を基に作成）を再構成したものです。