Paidyが直面したセキュリティ運用業務の複雑化──なぜ“堅牢化”と“効率化”を同時に実現できたのか

　そんなPaidyでは、様々な経験やバックグラウンドを持つ従業員が働いており、セキュリティチームのメンバーもそれぞれが異なる業界で経験を積んでいるため、多様性に富んでいるという。レロイ氏は、「この多様性がチームに様々な視点や意思決定のアプローチをもたらし、高度なセキュリティ対策につながっている」と語る。

　「同じようなキャリアを持つ人材が集まることは、セキュリティ業務を行ううえで、ある種の“偏り”を生む可能性があります。しかし、我々のチームには様々なバックグラウンドを持つメンバーが所属しているため、特定の価値観や認知バイアスに囚われることなく、チーム全体として多様な角度から脅威にアプローチできるのです」（レロイ氏）

WAFの運用性や誤検知、最新技術への対応に取り組んだ過去

　Paidyが特に重視しているセキュリティ技術の1つが、「WAF（Web Application Firewall）」だ。Webアプリケーションの脆弱性を狙うサイバー攻撃を防ぐために、今や大半のECサイトにてWAFが導入されている。Paidyも同様に、自社サービスにおけるセキュリティ対策の一環として早くからWAFを導入してきた。

　しかし、同社でCost Management Sr. Managerを務めるジョン・ガノタキス氏によれば、その運用にはいくつかの課題を抱えていたという。

　「セキュリティ対策のプロセスをなるべくシンプルかつスリムにして、使いやすさとセキュリティを両立したいと考えていました。しかし、当初導入していたWAFはルールの設定や見直し、誤検知の対応などに多くの手間や時間を要したため、運用プロセスの複雑化や煩雑化の要因となっていました」（ガノタキス氏）

　また、最新のアプリケーション実装技術への対応面でも課題があった。Paidyのサービスは、最新のAPIフレームワークの1つである「GrapQL」を使って実装されており、当然WAFにも、このGraphQLの脆弱性を狙った攻撃を検知・ブロックできる能力が求められていた。しかし、当時のPaidyはGraphQLを狙った攻撃への対処に不安を抱えていた。

　そこで、これらの課題を解決できるWAF製品へのリプレースを検討していたところ、偶然目にしたのが「Fastly Next-Gen WAF」だったとレロイ氏。当時の印象について次のように振り返る。

　「Fastly Next-Gen WAFは、REST APIだけでなくGraphQLのAPIに対する攻撃も確実かつ迅速に検知できるため、まさに私たちが求めていた要件に合致していました。また、最新のリスクを検知できる様々なテンプレートが用意されており、最小限の手間で多様なリスクに対応できる点も魅力的でした」（レロイ氏）