導入事例
株式会社コジマ 様

株式会社コジマ様

>お客様の暮らしを応援することを使命に、国内に約140店舗を展開している家電量販店コジマ。高齢者も含むさまざまなユーザーにとってシンプルで分かりやすく、かつ不正ログインを防いでセキュリティを担保する方法として、「Capy パズル CAPTCHA」を採用しました。

お客様の暮らしを応援することを使命に、国内に約140店舗を展開している家電量販店コジマ。ビックカメラグループとなった後も、店頭でさまざまな体験・体感型イベントを実施したり、直接顧客の自宅に訪問し、家電の設置などさまざまな日常の困りごとを手助けする「コジマくらし応援便」といったサービスを展開し、業績を伸ばしています。

こうした店舗でのリアルな接点に加え、順調に成長しているのがオンライン通販サイト「コジマネット」と、2017年4月にリリースしたスマートフォン向けの公式アプリ「コジマアプリ」です。コジマはその双方で、「Capy パズル CAPTCHA」を導入し、不正ログイン対策を強化しています。その狙いと効果を、コジマの執行役員EC事業室長を務める浅野信行氏にお尋ねしました。

近年、金銭狙いのサイバー攻撃がとみに増加しており、家電量販店の提供する「ポイント」もターゲットになっています。こうした背景から、コジマも含めたビックカメラグループではセキュリティ委員会を設け、さまざまなサイバー攻撃に関する情報を共有しつつ、Webアプリケーションファイアウォールの導入や脆弱性検査といったセキュリティ対策の標準化を進めてきました。

「セキュリティ対策の程度に関して、コジマだけ、ビックカメラだけが高いという形ではなく、三者で対策を標準化し、セキュリティレベルを合わせながら高めていこうと考えています」

コジマでは2016年12月のリリースを目指し、コジマアプリの開発を進めていました。そんな折、ビックカメラのオフィシャルアプリがリスト型攻撃を受けたことをセキュリティ委員会を介して知ったそうです。

「ECサイトに対するリスト型攻撃の危険性は認識していましたが、アプリに対するリスト型攻撃もあるのだということを、その時初めて認識しました。そこで、リリース予定を遅らせてでも対策を実装しようと判断し、Capy パズル CAPTCHAを導入しました」

不正ログインに備えるならば、CAPTCHA認証のほか、SMSを用いた二段階認証やワンタイムパスワードトークンや別のアプリを用いた二要素認証といった他の手段もあります。

けれど、「コジマのお客様は、店舗での対面接客がきっかけとなり、そこから長いお付き合いをさせていただくパターンが多く、ご年配の方も少なくありません。そうした方々に、『ぐにゃぐにゃした文字を読み取ってアプリ上で入力してください』とお願いしたり、別のアプリを起動するようお願いしても、操作に手間取ると考えました」

Capy パズル CAPTCHAならば、パッと見た瞬間にどうすればいいかが直感的に分かります。「なるべくシンプルにセキュリティを担保できる手段はないかを探していましたが、Capy パズル CAPTCHAならばどう動かすかがわかりやすいためお客様の離脱も少なく、年配の方にも受け入れられるのではないかと考えました」

事実、アプリリリース後も、認証手順を巡って大きな混乱はありませんでした。Capy パズル CAPTCHAを初めて目にしたユーザーから「これは一体何?」と質問が寄せられたこともありましたが、認証手順に関する簡単なガイド文を追加することでそうした問い合わせも減ったそうです。

もう1つ感じているメリットは、ASP形式で提供されるため手軽に導入できることです。

「コジマでは、ECサイトの自動連携システムの導入をはじめ、積極的に先進的な取り組みを進めていますが、その際には『餅は餅屋』で、あまりカスタマイズするのではなく、あらかじめ検証されているパッケージやASPサービスを活用することでセキュリティを担保できると考えてきました」。Capy パズル CAPTCHAは、そうした方針にまさにぴったりハマったわけです。

実は、コジマが検討を始めた当時、Capy パズル CAPTCHAはWebサイトでの実績は豊富にあっても、スマホアプリでの導入例はまだありませんでした。けれど、アプリ開発を依頼していたゆめみ、そしてECサイト構築を支援していたコマース21などのパートナー企業と連携しながら、テストも含めて1ヶ月ほどの短期間で導入にこぎつけました。

「家電量販店が発行するポイントは、攻撃者からすると魅力的な存在です。『今後、スマートフォンの普及、スマホアプリ化が進むにつれ、そこを狙う攻撃も増えてくるはずだから、全力で対応してほしい』とCapyさんにお願いしましたが、見事それに応えてもらいました」

さらに「パズル画像として、あらかじめ用意されたものだけでなく、コジマのキャラクターであるコジ坊の画像を使いたい」「常に画面の上部に表示し、お客様が戸惑わないようにしたい」といったコジマ側の要望やアイデアは、どんどんCapy パズル CAPTCHAに反映されています。

Capy パズル CAPTCHA導入後、コジマアプリに対する不正ログインは検知されておらず、効果を実感しているそうです。

また「セキュリティレベルを動的に変更できるため、最近の脅威の動向と利便性のバランスを見ながら管理画面上で簡単に調整できるのも、ASPならではの良さだと感じています。独自に作り込んだものだと、その都度コードを変更して、サーバを止めてアップロードし直して……と手間がかかりますが、それなしで運用できるため非常に重宝しています」

実は先日、コジマネットで残念ながら不正ログインが発覚してしまいました。コジマネットではIDにメールアドレスではなくユニークな文字列を採用し、特定のIPアドレスから大量にアクセスがあった場合には遮断するなど、さまざまな対策を打ってきました。そのため、以前はあまりリスト型攻撃を受けてこなかったのですが、最近では、検知をかいくぐるパスワードスプレー攻撃のような手段が登場しています。

「ログイン失敗を知らせる大量のアラートメールが届き、そのたびにこれは不正ログインか、それとも本当のお客様によるアクセスかを確認していて、文字通り夜も寝られない状況でした。そこでセキュリティを担保するため、アプリでお願いしていた実績もありCapyさんにお願いしたところ、かなり落ち着きました」

コジマでは、今後予定しているシステム刷新の際には、認証周りには全てCapy パズル CAPTCHAを導入していく方針です。「ばらばらの仕組みを導入していると対応のスピード感に欠けるため、セキュリティについて一元管理し、攻撃を受けたときにすぐに気づけるようにしたいと考えています」

不正ログインの手口一つとっても、常にいたちごっこが続くセキュリティの世界。その中で、利便性とのバランスをとりながらいかにセキュリティを担保するかは難しい課題です。

「やはり、ASPサービスで得意な企業にお願いするのが、一番セキュリティを高められる方法だと思っています。私たちだけで判断を下すのは難しい部分についても、セキュリティに長けている立場からアドバイスをもらったり、サービスに反映する形でお願いできれば非常に助かります」。その分の労力を、本業である家電の販売や顧客のサポート、そして、売り手側の都合ではない、買い手に寄り添ったコジマ電気ならではのオムニチャネル化といった施策に注いでいきたいと、さらなる展開に意欲的に取り組んでいくそうです。