お問い合わせ
お客様の個人情報をリスト攻撃から守るためにシステム導入。 O-MOTIONを選んだ決め手となる3つのポイントとは。
※現在は「O-MOTION」から「O-PLUX Account Protection」にサービスが変更になっております。
1984年、通信販売専門の化粧品メーカーとして設立されたオルビス株式会社。
全国に100以上の直営店舗を展開している現在でも、売上のメインは通信販売だそうです。
通信販売の中でも、特に売上の約6割を占めているのは自社ECサイト。
自社ECサイトを運営していく上での大きな課題は、「サイバー攻撃対策」だったそうです。
「サイバー攻撃対策のために、どんなツールを探していたのか」「O-MOTIONの導入でどんな効果があったのか」、オルビス株式会社・佐々木様にお話を伺いました。
お客様の個人情報をリスト型攻撃から守るため、特化ツールを導入することに
- オルビス株式会社は、化粧品の通販会社としてスタートしたんですね。
- はい、現在は103の直営店舗がありますが、もともと電話で注文を受付する通販専門の会社でした。
今も通販での売上は大きいですが、その中でも自社のECサイトからの売上が約6割を占めています。
- 自社ECでの売上の割合が大きいと伺いましたが、セキュリティなどの問題において、どのような課題があったのでしょうか?
-
サイバー攻撃が増えており、その対策が課題となっていました。
サイバー攻撃は年々、その方法が多様化・複雑化しています。
その中でも、特に頭を悩ませていたのが「リスト型攻撃」です。リスト型攻撃はDos攻撃と違い、IPアドレス制限やWAF(Webアプリケーションファイアウォール)では完全に対応することはできません。
なぜなら、リスト型攻撃は「正しいアカウントとパスワード」でログインを試すため、通常のログインと判別しにくいからです。
リスト型攻撃を防ぐ作業に工数を取られ、対策としてツールの導入を検討することになった時に「O-MOTION」を知りました。
- リスト型攻撃の対策ツールを探していらっしゃったのですね。
-
そうですね。専用のツールを導入して「リスト型攻撃を対策しなければ」と考えていました。
ここでいう「リスト型攻撃が成功した」とは、「お客様のアカウントにログインできてしまった」という意味です。「決済自体を防げればいい」という意味ではありません。
アカウントへのログインを許した時点で個人情報が漏洩しており、攻撃者からさらに個人情報がばらまかれる可能性があるのです。
- 決済さえできなければお客様に迷惑はかからない、という問題ではないですね…。
-
はい。「お客様の個人情報が漏洩しても、補償をすれば済む」などという簡単な話ではありません。
また、お客様にご迷惑をおかけするだけでなく、オルビスのブランドイメージ失墜につながり、信用問題に関わります。
個人情報に限った話ではありませんが、お客様に対して「常に誠実であるべき」というのがオルビスの考え方です。 - お客様の個人情報を守るために、ツールの導入を検討したのですね。
Google ReCAPTCHAではなく、O-MOTIONの導入を決めた3つの理由
- リスト型攻撃の対策ツールの中で、O-MOTIONの導入を決めた理由を教えていただけますか?
-
同様のツールがあまり見当たらなかったため、おもにGoogle ReCAPTCHA(リキャプチャ)と比較検討をおこないました。その結果、O-MOTIONを選んだ大きな理由は以下の3点です。
1.お客様の大切な個人情報を守れること
2.コンバージョン率を下げないこと
3.ノウハウを持つ専門人材によるサポートがあること - まず、1つ目の理由から教えていただけますか?
-
「お客様の大切な個人情報をしっかり守れる」のが一番の条件でした。
リスト型攻撃の対策として、最初に候補に挙がったのがリキャプチャです。「悪意ある攻撃を防ぐ」という部分では、リキャプチャの機能で十分だと思います。
しかしリキャプチャはグーグルが提供するサービスであり、「ユーザーの情報がグーグル広告のパーソナライズなどに利用されるのでは?」といった心配の声もあります。
お客様の個人情報を想定外の方法で利用されるのは、私たちの本意ではありません。
その点、O-MOTIONを提供するかっこさん(当社)は、セキュリティ専門のベンダーです。個人情報を広告利用される心配などはないと思い、安心して導入を決められました。
- 次に、2つ目の理由を教えていただけますか?
-
「コンバージョン率(CVR)を下げない」ことも大切な条件のひとつでした。
「注文の過程でお客様に負担をかけたくない」と同時に、「そのせいでCVRが下がってしまうのも避けたい」と考えていました。
例えば、多要素認証(※)を実施するとセキュリティは強化できます。しかし、お客様に認証が面倒だと思われたら、そこで注文をやめてしまうかもしれませんよね。
- ※多要素認証とは
・知識情報(例:パスワード、秘密の質問)
・所持情報(例:キャッシュカード、スマホに発行されるワンタイムパスワード)
・整体情報(例:指紋認証、顔認証)
の3つの情報のうち、2種類以上の要素で認証することを「多要素認証」と言います。
-
その点、O-MOTIONはお客様に何か操作を要求することはありません。
「キーボードやマウスの操作情報から人間かプログラムかを判別する」といった当社独自の技術で不正アクセスを検知していますので、お客様が注文する操作は今までと何も変わりません。
お客様に負担をかけることがないため、コンバージョン低下を抑えやすいことも、大きな理由でした。
- 最後に、3つ目の理由を教えていただけますか?
-
「ノウハウを持つ専門人材が、ツール運用をサポートしてくれる」というメリットが大きかったです。
リスト型攻撃の対策ツールを探していく中で、「そもそもツールを自社で運用できるのか」という懸念がありました。ツールを運用していくためには、セキュリティ関連のノウハウを持つ専門人材が必要だと感じたのです。
- ツールを使いこなすためのサポートが必要だったんですね。
-
おっしゃる通りです。例えばグーグルの場合「リキャプチャというサービスを提供するので、自由に使ってください」というスタンスになっています。
実際にGoogle社へのサポートへ問い合わせしたり、取引先ベンダーにも相談したりしてみましたが、チューニングを含めた運用ノウハウを持っているベンダーはいませんでした。
その点、かっこさんは「ツールをどんな風にチューニング(調整)すればいいのか」といった、実際の運用段階での相談もできるためとても助かりました。
また、実際のチューニングの方針も、O-MOTIONの有償トライアルを実施し、提出してもらったレポートを検証して決定しています。
「どれくらいの不正アクセスが発生しているのか」といった検証に必要な情報を伝えてもらい、一緒に分析・運用していけるかっこさんは、とても心強い存在です。
O-MOTIONを導入することで、リスト型攻撃を防ぎながらCVRを維持できている
- O-MOTIONを導入し、どのような効果を感じていらっしゃいますか?
-
「サイバー攻撃による個人情報の漏洩」といった事故はもちろん起きていませんので、しっかりとサイバー攻撃を防げていると評価しています。
引き続き、コンバージョンとセキュリティのバランスを考えつつ、かっこさんと相談しながらチューニングしていきたいと思います。
- はい、引き続きサポートさせていただきます!
-
O-MOTIONのトライアルをおこなっております。
詳しくはトライアル申込みページをご確認ください。
「個人情報を預かる立場として、お客様に誠実でありたい」というオルビスの理念
- お話を伺っていて、お客様の個人情報をお預かりしていることについて、オルビス様がいかに真摯に考えていらっしゃるのかが伝わりました。
-
ありがとうございます。オルビスはECを20年以上運営しており、「お客様視点」を大切にビジネスをおこなっています。
先ほどもお話ししましたが、「決済さえできなければ大丈夫」と考えるのは企業側のひとりよがりな考えです。お客様の視点で考えなければなりません。
- その考え方が企業文化として根付いているんですね。
- はい、社員の共通認識だと思います。
当社は事業部門とカスタマー部門が密接に関わっているため、事業部にもお客様の声がダイレクトに届きます。お客様の声に常に耳を傾けられる環境も「お客様に対して誠実でありたい」という気持ちを高めていると感じます。 - オルビス様の企業理念を守りながら事業を発展させていくために、O-MOTIONがお役に立てていると嬉しいです。
-
「お客様の個人情報を守りつつ、認証などの手間をかけない」という2つの視点を両立させるために、O-MOTIONは最適なツールですね。
セキュリティ人材の確保は手間もコストもかかるため、これからO-MOTIONを導入する企業は、かっこさんのサポートに頼るのもひとつの方法だと思います。
- 本日は貴重なお話をお聞かせいただき、ありがとうございました!
2021年5月27日取材
※内容は取材時のものです。
