ZIPAIR、Cloudflare採用で不正ボット通信を26％多く遮断　予約システムの負荷を軽減

　ZIPAIR Tokyoは、悪意のあるボットアクセスとスクレイピングへの対策を目的に、Cloudflareのボット対策製品群を採用した。10月28日、Cloudflareが発表した。Cloudflare Bot Management、Web Application Firewall（WAF）、CDN（コンテンツデリバリーネットワーク）を活用することで、チケット発券システムの保護と予約ピーク時の安定化を実現した。オリジンサーバーへの負荷とリスクを軽減し、サーバーの応答時間を約20%短縮するなど、顧客の利便性向上につながっている。

　日本航空の完全子会社であるZIPAIRは、北米とアジアに重点を置いた中長距離路線を主体とする格安航空会社（LCC）だ。同社のITミッションは「安定したITインフラを提供し、セキュリティを強化することで、安全で安心なフライトを支える」ことだと定義されている。

　Cloudflareの導入以前、同社の予約サイトは悪意のあるボットからの攻撃に直面していた。スクレイピングや不正予約が特定のフライトで最大90％に達するケースもあり、時としてオリジンサーバーの負荷が高まり、チケット予約ページで障害が発生することが、本来のユーザーに悪影響を与えていた。しかし、従来のWAFプロバイダーでは不審なトラフィックを直接把握できず、ITチームの喫緊の課題はボットトラフィックの効果的なブロックだった。

　ZIPAIRは、他社と比較して費用対効果の高いCloudflareのボット処理オプションの性能と可視性を検証するため概念実証（PoC）を実施し、その成功を受けCloudflare Bot Management、Cloudflare Web Application Firewall、Cloudflare CDNの採用を決めた。これらの機能は現在、予約ウェブサイト、バックエンドAPI、ログインページなどの重要なシステム全体を保護している。

　同社はCloudflare Bot Managementの導入で、リアルタイムで通信が可視化されるため、ルールを迅速に最適化できるようになった。これにより、ITチームはBot Managementルール、WAFルール、レート制限ルールを組み合わせた多層的な防御アプローチを自らの手で構築し、あらゆる侵入経路を保護することが可能になった。

　導入効果として、Cloudflareは以前のシステムと比較してボットリクエストを26％多く検出・ブロックし、オリジンサーバーへのリクエストを約10％削減した。また、スクレイピングを含むボットトラフィックを検出・ブロックしたことで、サーバー応答時間は1リクエストあたり0.945秒から0.786秒に約20％短縮された。予約のピーク時でも安定したアクセスを持続するため、Cloudflare CDNを活用し、予約ページのリクエストの約70％をエッジキャッシュから供給することで、データ転送量を35％削減した。

　ZIPAIRでCIOを務める西山大介氏は、「一定の閾値を超える通信がオリジンサーバーにアクセスした場合、それがボットによるものなのか正当なユーザーによるものなのかを判別することは非常に難しい課題であった」と当時の状況を述べ、「サーバーの安定により、お客様がフラストレーションを感じることは減らせたと思う。今後も、すべてを外部のベンダーに委託するのではなく、Cloudflareを活用して自社で脅威や対策を理解しながら事業のリスクを減らしていきたい」とコメントしている。

　同社は今後、機材の増強に伴うさらなる路線ネットワークの拡充と、1日あたりの運航便数の増加に注力する予定だ。ITチームは、アクセス集中に対処するための「Cloudflare Waiting Room」や、社内資産への不正アクセスを防止するための「Cloudflare Zero Trust」の導入計画も進めている。