HOME > お知らせ > 導入事例紹介 > 株式会社ファミリーマート様

「金融機関レベルのセキュリティ」を実現するために、ファミペイが求めたWAFの条件とは

株式会社ファミリーマート様

株式会社ファミリーマートは、全国16300店舗、1500万/日、年間延べ55億人以上が来店するリアル店舗を持ち、加盟店・店舗スタッフ約20万人の日々の商売を支え業務システムの課題に応えています。POSレジをはじめサプライチェーンを構築する受発注システム、物流システムなど店舗の運営・経営に関わるシステムの企画・開発・管理、社内業務効率化に向けた社員向けのアプリ開発保守、機器導入、次世代情報システム基盤の開発と運用、そして新たな価値創造に向けイノベーションを続けております。

規模 部署名 業種 導入対象
5,574名以上 システム本部 IT基盤部 フランチャイズシステムによるコンビニエンスストア事業 開発用サイト
ブランド/製品/情報提供サイト
SaaS/ASP/Webサービスサイト
管理用サイト
会員管理サイト
ECサイト
課題
  • コストパフォーマンスの良いセキュリティ対策を探していた
  • セキュリティーポリシーを強化したかった
  • 預かっている個人情報の保護
決め手
  • 信頼できるパートナーからの勧め
  • セキュリティレベルの高さ
  • 誤検知の少なさ
効果
  • 攻撃が可視化された
  • サポートの質の高さに安心できた
  • セキュリティ対策の相談にのってくれる

担当者コメント

ファミリーマートでは、決済アプリ「ファミペイ」で金融機関レベルのセキュリティを目指しています。複数のWAFを比較検討した結果、検知・防御能力という基本性能が最も高かった「Scutum」を導入しました。誤検知が少なく安定稼働するため、日々大量のアクセスが発生する中でも、ユーザーが安心して利用できるサービスの基盤となっています。

ファミリーマートが2019年7月に提供を開始したバーコード決済アプリ「ファミペイ」は、2025年7月現在で累計2,600万ダウンロードを記録し、国内屈指の決済プラットフォームとして確固たる地位を築いています。Apple PayやGoogle Payとの連携によるタッチ決済機能、ファミペイバーチャルカードなどによるオンライン決済対応、そして各種ポイントサービスとの統合により、単なる決済手段を超えたデジタルウォレットとしての価値を提供しているのが特徴です。

ファミペイダウンロード数
ファミペイダウンロード数

機能性の高さとともに注目されているのが、強固なセキュリティ。類似のサービスではセキュリティインシデントに端を発してサービス終了に追い込まれる事例もある中、SNSでは「他社とは違ってファミペイは安心して使える」「セキュリティがしっかりしている」といった評価が定着し、ユーザーからの信頼獲得に成功しています。

この安全性の裏側には、サービス開始前からのファミリーマートの徹底したセキュリティ戦略があります。決済アプリという金融インフラを担う責任を深く認識し、2要素認証システムの構築、ワンタイム決済コードの生成、SMS認証によるトランザクション保護など、複数の防御層を重ねた設計を採用。その実行を支えているのが、セキュアスカイが提供するクラウド型WAF「Scutum」と包括的な脆弱性診断サービスです。

日本におけるキャッシュレス決済比率は、2024年度に40%(*2)を突破した。政府は80%以上を目標に掲げ、さらなる普及に向けた官民の取り組みも進んでいます。多くのユーザーが日々利用する、身近な決済アプリ「ファミペイ」のセキュリティを支えるWAFと脆弱性診断は、どうして選ばれたのか。また、セキュリティを守る取り組みの中でどのように活用されているのか。ファミペイのセキュリティを担う、株式会社ファミリーマート CISO(最高情報セキュリティ責任者)兼CTOの北野隆氏、同社システム本部 IT基盤部 ITセキュリティグループマネージャーの林圭一氏、そして伊藤忠サイバー&インテリジェンス株式会社(ICI)CTOの佐藤元彦氏に、セキュアスカイ代表取締役の大木元、CTOの長谷川陽介、そして「Scutum」の技術開発責任者である株式会社ビットフォレスト取締役の佐藤匡(金床)氏が話をうかがいました。

2024年のキャッシュレス決済比率を算出(経済産業省)
2024年のキャッシュレス決済比率を算出(経済産業省)

*1 出典:「ファミペイ」2025年上半期総括 1月から6月までの新規ダウンロード数は前年比124%を記録 累計2,600万ダウンロードを突破!
*2 出典: 経済産業省ウェブサイト「2024年のキャッシュレス決済比率を算出しました」

「PCIDSS準拠」「既存システムとの分離開発」を軸にセキュリティデザインを構築

長谷川:北野さんは以前所属されていた伊藤忠商事時代から「ITCCERT(サイバーセキュリティ対策チーム)」を立ち上げるなど、セキュリティの取り組みの最前線にいらっしゃいました。どのような経緯でファミペイに関わられたのでしょうか?

株式会社ファミリーマート CISO(最高情報セキュリティ責任者)兼CTOの北野隆氏
株式会社ファミリーマート CISO(最高情報セキュリティ責任者)兼CTOの北野隆氏

北野:僕がファミペイプロジェクトに加わったのは、2018年7月からでした。1年前くらいからビジネスモデルの検討などは始まっていたのかな。システム要件定義から詳細設計・外部設計に移るフェーズに入っていて、ファミペイのシステム要件定義についてのプレゼンを、僕が受けたんですよ。その時すぐにセキュリティの問題を指摘したんです。

長谷川:ファミペイローンチが2019年7月1日ですから、1年ほど前のことですね。

北野:そうです。ファミペイはファミリーマート初のコンシューマー向けサービスで、これまでコンシューマー向けのセキュリティはほとんど経験がなかった。プレゼンを聞いていると、従来のクローズドな社内ネットワークを作るのと同じような感覚でセキュリティを考えていたんです。でもペイサービスってお金を扱うのと同じですからね。「これはいかん」と思って、すぐに経営会議で予算規模の拡大を提言しました。もちろんセキュリティ機能を追加で搭載するためです。

長谷川:コンシューマー向けセキュリティを構築するにあたっての、人材はどうされたのでしょうか?

北野:ファミペイに必要なセキュリティデザインを考え、実装するために、伊藤忠時代からタッグを組んでセキュリティを担当していた元彦(佐藤氏)をはじめとするセキュリティ専門の人材に声をかけて、メンバーに加わってもらいました。

大木:セキュリティデザインの方針は?

北野:ファミペイの特徴は「顧客管理」と「ポイント」と「マネー」という、まったく異なる機能が1つに統合されていることです。「マネー」を扱うからには、金融機関のシステムに求められるセキュリティレベルを実現しなければいけない。そこで「クレジットカード会社と同様、PCIDSSに準拠する」「従来の社内システムとは独立した別のシステムとして構築する」の2点を方針として定めました。加えて、外部のセキュリティ有識者・専門家を入れた徹底的なセキュリティチェックも組み入れることにしたんです。

佐藤:外部のセキュリティ有識者として私が北野へ紹介したのが、セキュアスカイの長谷川さんでした。設計が完了し、ベンダーによる開発がある程度進んだタイミングで、Webアプリケーション設計を読んでもらって、セキュリティイシューがないかどうか、レビューをお願いしましたね。

北野:それが結果的にビンゴだったわけです。例えば、パスコードをスマホアプリ側で格納する仕様だと、オフライン時にパスコード総当たりができてしまう。リモート認証でも、認証結果を単純に返すだけの仕様では、スマホアプリを乗っ取れば偽装できてしまう。そういったセキュリティの不備を、長谷川さんに指摘してもらったんです。ベンダーによる開発がほぼ終わっていたものもありましたが、セキュリティチェックの結果を受けて仕様変更を要求しました。

長谷川:現在も、重要な機能を追加するときには実装前の段階で私や他社の専門家を交えたセキュリティレビューをされていますよね。あれは実在のアプリケーションに対して現実的なリスクを考えるうえで、セキュアスカイにとっても大変学びのある場になっています。

「Scutum」を選んだ理由は「他社を凌駕するWAFの基本性能」

株式会社ファミリーマート システム本部 IT基盤部 ITセキュリティグループマネージャーの林圭一氏
株式会社ファミリーマート システム本部 IT基盤部 ITセキュリティグループマネージャーの林圭一氏

林:従来のファイアウオールやIDS/IPSでは防ぎきれない、アプリケーション層の脆弱性を狙った巧妙な攻撃が増加している中、Webアプリケーションのセキュリティ対策を根本から考えた時、単なるネットワーク境界防御だけでは不十分という認識が強かったため、WAFの導入は必然だと、北野も私も考えていました。

北野:そう、WAFは必ず入れる。何を使うかは、佐藤の選定に任せました。

大木:WAFの有効性について、さまざまな意見や観点があると思いますが、WAFへの期待はどのようなものでしょうか?

佐藤:以前、ICI(伊藤忠サイバー&インテリジェンス)で伊藤忠グループに推奨するWAFを選定するために、クラウド型WAFサービスの防御性能を比較検討をしたことがありました。その経験から「一口にWAFといっても、その防御性能はまちまち」だと認識していました。つまり、単にWAFを導入するのでは不十分で、攻撃を水際で防御できる適切なWAFを選定して導入しなければならない、ということです。

長谷川:WAF製品の防御性能調査での「Scutum」の結果はいかがでしたか?

佐藤:一度比較調査したあと、経年による機能向上も勘案して、数年後にAWS WAFやいくつかのWAF製品を再比較した結果、「Scutum」は基本性能において他社のWAFを凌駕していました。

北野:結果を聞いたら、同じクラウド型WAFといっても、想像していた以上に、製品によって大きな差があるという話だったね。

佐藤:お金を払ってWAFを入れても、現実的な攻撃を止められないどころか、正常な通信も阻害してしまう「WAFといっていいの?」というレベルのものもありました。技術力が高くて、実績が豊富で、長年にわたってWAFを専門で開発している企業は「Scutum」を開発しているセキュアスカイとビットフォレストをおいてほかにはなかったので、ファミペイでのWAF導入に際しては、他社と比較することはなかったです。初めから「Scutum」でした。

大量のアクセスがあるサービスがゆえに、誤検知の少なさもポイントに

林:セキュアスカイはWAFに特化した研究開発を長年続け、技術力は高く評価されています。名ばかりのWAFが多い中で、WAFがWAFとしてしっかり機能することに加えて、バックボーンを持ったセキュリティのプロフェッショナルが常にバックアップしてくれるという安心感がありました。それに、Webアプリケーションの特性によってWAFのチューニング内容は変動することが想定され、AIの活用に加えて、Webセキュリティの専門家が継続的に詳細な調整や設定を行うことも重要でした。これにより、特定アプリケーションで誤検知を防ぎ、より強固な防御体制を構築できます。

北野:特に専門家によるチューニングと運用サポートがセットになっている点は、僕たちにとって非常に心強いものでした。

林:「Scutum」で採用しているベイジアンネットワークなどのAIロジックを使ったAI型検知も、未知への攻撃への対処として効果的だと認識しています。シグネチャ型WAFでは、既知の攻撃パターンに依存するため、どれだけ専門家がチューニングと運用を行ったとしても、ゼロデイ攻撃や未知の攻撃に対して限界があります。

北野:ファミペイ開発中の2018年〜2019年ごろは、シグネチャ型のWAFを評価する向きもまだありましたが、今はすっかり変わっちゃいましたよね。

株式会社ビットフォレスト 取締役の佐藤匡(金床)氏
株式会社ビットフォレスト 取締役の佐藤匡(金床)氏

金床:「Scutum」も最初はシグネチャ型でスタートしました。しかし、シグネチャに依存すると誤検知が起こって、その誤検知の要因となる部分のシグネチャをオフにすると、攻撃を遮断できずWAFとして機能しなくなるというジレンマがありました。WAFの本質は「正常な通信なのか、攻撃なのかを分類する」ことなので、うまく分類できる技術を調べに調べたうえで選んだのがベイジアンネットワークです。

林:技術的に高度というか、実装が難しいのですか?

金床:ディープラーニングのような技術と比較すると、非常に高度というほどではないですが、シグネチャに比べるとはるかにうまく分類できます。ベイジアンネットワークを活用すると因果関係の強さや関係をネットワークとして整理できます。そのため、誤検知を発生させる複数の因果関係のうち、極端に誤検知に関係しているものだけをオフにするという調整がしやすいんです。

林:シグネチャ型だと、ホワイトリストにせよブラックリストにせよ、定義と合致しているかどうかだけで判断せざるを得ませんね。

金床:ベイジアンネットワークを使うと、ある特定の癖みたいなやつだけを無視できる、というと分かりやすいかもしれません。これで、次に似たような攻撃が来た時に、誤検知をせずに攻撃を止められる確率を格段に上げられます。ベイジアンネットワークでも迷う部分というか、止めるか止めないかのギリギリの線を判断する材料として、アノマリー検知も活用しています。アルゴリズムには教師なし学習という分野で比較的適用しやすいIsolation Forestを使っています。

林:2019年にセキュアスカイの大木さんがファミリーマートに初めて来て、「Scutum」の紹介をしてくれた時のことはよく覚えています。「『Scutum』と他社のクラウドインフラのWAFとを比べるとどうなんですか?」と聞いたら「比較になりませんよ」って。すごく自信を持って答えてくれたのが印象的でした。そのバックボーンにそんな技術があったんですね。

金床:「誤検知が多い」「誤検知してしまう場合はシグネチャをオフにするという形でしか調整できない」という、シグネチャ型WAFの2つの悩みを、ベイジアンネットワークを使えば両方まとめて解決できると分かったのは大きな発見でした。実際のWAFでは、数ミリ秒〜数十ミリ秒のスピードで分類する必要が求められるので、その時間内にCPUで処理できるように落とし込んだのが2013年のことです。それから根本的な検知手法は変えていません。改めて、WAF向きの技術だなと思います。

北野:こういうふうに直接、実装した方から利用しているWAFの技術的根拠を聞ける機会はめったにないから、おもしろいですね。勉強になりました。

佐藤:「Scutum」の誤検知が非常に少ないという特徴は、多様で大量のアクセスが発生するファミペイに採用するWAFとして、運用面での大きなメリットになりました。

WAF本来の基本性能である検知能力と防御能力を選択基準に、未来の脅威にも対応

伊藤忠サイバー&インテリジェンス株式会社(ICI) CTOの佐藤元彦氏
伊藤忠サイバー&インテリジェンス株式会社(ICI) CTOの佐藤元彦氏

佐藤:私たちの事業の根幹に関わるファミペイのセキュリティには「WAF本来の基本性能である検知能力と防御能力」を、最優先の選択基準としました。特に、生成AIによる脆弱性探索や攻撃コードの自動生成は、攻撃の速度と規模を劇的に変化させています。サイバー攻撃は今後さらに巧妙化し、なおかつ自動化されていくと予想されます。この変化に対応するには、従来のシグネチャベースのWAFだけでは限界があるでしょう。

林:変化する攻撃パターンをリアルタイムで学習し、未知の脅威にも対応できるAI型WAFの役割は、今後ますます重要になると確信しています。「Scutum」の防御技術は、未来の脅威に対する「最前線の防御壁」として、不可欠な存在になると期待しています。

ファミペイのセキュリティデザインを実現するうえで、確かな役割を果たしたWAF「Scutum」。しかしWAFがすべてではない、と北野氏は指摘します。

「WAFはWebサイトの防御に欠かせませんが、決して万能なソリューションではありせん。しかし“多層防御”というセキュリティ戦略において、Webアプリケーション層の最も重要な防御レイヤーはWAFです。例えば、脆弱性診断では見つけられなかった未知の脆弱性を突く攻撃に対する緊急防護策として、たいへん高い有効性があります。つまり、WAFは単体の機能だけでなく、開発段階でのセキュリティ対策や、その後の脆弱性診断とのセットで、真価が発揮されるものだと考えています」

後編(*)では、ファミペイが採用したセキュアスカイの脆弱性診断、そしてファミリーマートのシステム全体のセキュリティに与えた影響についてお話をうかがいます。

* 後編はセキュアスカイ・テクノロジーが運用する「セキュアスカイプラス」をご覧ください。

WAF導入事例TOPへ