Paidyが直面したセキュリティ運用業務の複雑化──なぜ“堅牢化”と“効率化”を同時に実現できたのか
従来型WAFの常識を変えた「Fastly Next-Gen WAF」、その機能と運用性とは?
あと払いサービス「ペイディ」でおなじみのPaidy。決済サービスというミッションクリティカルな事業を展開する企業として、常に高いセキュリティ水準が求められている同社は、自社サービスをサイバー脅威から守るために、WAFを早くから導入してきた。しかし、当初はその運用性に様々な課題を抱えていたという。これを解決すべく、FastlyのWAF製品「Fastly Next-Gen WAF」を導入。セキュリティ対策の高度化と効率化を同時に実現した。今回はそんな運用の裏側と、Paidyのセキュリティチームに迫る。
チームの多様性が強力なセキュリティ体制をもたらす
AmazonやQoo10など、様々なECサイトやオンラインショップに対して独自のあと払いサービスを提供するPaidy。日本発のフィンテック企業でありながら、2021年には米国の大手オンライン決済事業者ペイパルによって買収されことでも大きな話題を呼んだ。
同社は「オンライン決済」という極めてミッションクリティカルな金融インフラを司る事業者として、サービスの安全性や信頼性の確保にはこれまで万全を期してきたという。ECサイトやオンラインショップは、その業態上あらゆるインターネットユーザーに対してアクセスが開放されているため、自ずとサイバー攻撃のターゲットになりやすい。したがって、そこに導入される決済サービスにも、ひと際高いセキュリティ水準が求められる。
こうした厳しい要件をクリアするために、これまでPaidyは様々なセキュリティ施策を講じてきた。同社でCloud Security Leadを務めるジョセフ・レロイ氏は、「創業当初からセキュリティ対策は重視してきたが、ペイパルファミリーに加わって以降は、より一層力を入れるようになり、セキュリティチームの体制も大幅に強化された」と振り返る。現在は、平時からペネトレーションテストや脆弱性診断なども定期的に実施しているほか、経営陣を含めたすべての従業員にセキュリティトレーニングを施して、セキュリティ対策の重要性を社内で広く周知しているとのことだ。
そんなPaidyでは、様々な経験やバックグラウンドを持つ従業員が働いており、セキュリティチームのメンバーもそれぞれが異なる業界で経験を積んでいるため、多様性に富んでいるという。レロイ氏は、「この多様性がチームに様々な視点や意思決定のアプローチをもたらし、高度なセキュリティ対策につながっている」と語る。
「同じようなキャリアを持つ人材が集まることは、セキュリティ業務を行ううえで、ある種の“偏り”を生む可能性があります。しかし、我々のチームには様々なバックグラウンドを持つメンバーが所属しているため、特定の価値観や認知バイアスに囚われることなく、チーム全体として多様な角度から脅威にアプローチできるのです」(レロイ氏)
WAFの運用性や誤検知、最新技術への対応に取り組んだ過去
Paidyが特に重視しているセキュリティ技術の1つが、「WAF(Web Application Firewall)」だ。Webアプリケーションの脆弱性を狙うサイバー攻撃を防ぐために、今や大半のECサイトにてWAFが導入されている。Paidyも同様に、自社サービスにおけるセキュリティ対策の一環として早くからWAFを導入してきた。
しかし、同社でCost Management Sr. Managerを務めるジョン・ガノタキス氏によれば、その運用にはいくつかの課題を抱えていたという。
「セキュリティ対策のプロセスをなるべくシンプルかつスリムにして、使いやすさとセキュリティを両立したいと考えていました。しかし、当初導入していたWAFはルールの設定や見直し、誤検知の対応などに多くの手間や時間を要したため、運用プロセスの複雑化や煩雑化の要因となっていました」(ガノタキス氏)
また、最新のアプリケーション実装技術への対応面でも課題があった。Paidyのサービスは、最新のAPIフレームワークの1つである「GrapQL」を使って実装されており、当然WAFにも、このGraphQLの脆弱性を狙った攻撃を検知・ブロックできる能力が求められていた。しかし、当時のPaidyはGraphQLを狙った攻撃への対処に不安を抱えていた。
そこで、これらの課題を解決できるWAF製品へのリプレースを検討していたところ、偶然目にしたのが「Fastly Next-Gen WAF」だったとレロイ氏。当時の印象について次のように振り返る。
「Fastly Next-Gen WAFは、REST APIだけでなくGraphQLのAPIに対する攻撃も確実かつ迅速に検知できるため、まさに私たちが求めていた要件に合致していました。また、最新のリスクを検知できる様々なテンプレートが用意されており、最小限の手間で多様なリスクに対応できる点も魅力的でした」(レロイ氏)
従来型WAFの常識を変えた「Fastly Next-Gen WAF」を採用へ
また、Fastly Next-Gen WAFは、長年悩まされ続けてきた「WAFの誤検知」の問題も解決する機能を備えていた。同製品は、旧来型のルールベースによる静的な脅威検知ロジックだけでなく、前後の文脈に基づいて動的にリスクを判定する独自のアルゴリズムを採用しており、従来のWAF製品と比べ極めて低い誤検知率を実現。検知ルールの更新などにともなう手間を最小限に抑え、効率的な運用が可能となっているのである。
Fastlyの日本法人でSenior Account Managerを務める鈴木賢三氏によれば、その他にも様々な点において、Fastly Next-Gen WAFは従来型WAFとは一線を画しているという。
「たとえば、弊社が提供するCDNサービスのエッジサーバー上でWAFを稼働させたり、あるいはお客様が運用するサーバー上に実装したり、さらにはプロキシサーバー上にも導入できたりと、多様な環境やニーズに応じて柔軟な実装が可能な点も大きな特徴の1つです」(鈴木氏)
さらにレロイ氏は、「ベンダーの信頼度」という点においても、Fastlyは極めて高い信頼に値するベンダーであると判断した。
「Fastly Next-Gen WAFの機能や信頼性を評価するために、Paidyの環境でテストを実施したいと要望したところ、快く了承していただけました。またITベンダーの中には、いわゆる『売っておしまい』という企業も少なくない中、Fastlyは製品の運用を開始した後のサポート体制も充実しており、信頼できるベンダーだと確信したのです」(レロイ氏)
こうして、PaidyはFastly Next-Gen WAFの正式導入を決定したのである。
製品だけじゃない、Fastlyが提供するセキュリティ支援の魅力
Fastly Next-Gen WAFの導入効果は、その稼働を開始して間もなく目に見えて表れたという。誤検知率は明らかに低下し、それまで強いられてきた検知ルールの更新・メンテナンス作業からも解放されたことで、「運用負荷は大幅に低減したと」レロイ氏は語る。また、GraphQLで実装したAPIに対する攻撃を新たに検知可能になったことで、より多様なセキュリティリスクに対応できるようになった。
さらには、24時間×365日のベンダーサポートが提供されることで、より安心してWAFを運用できるようになったとレロイ氏。鈴木氏は、Fastlyのサポートサービスの充実ぶりについて、次のように強調する。
「Fastlyは製品のサポートにも力を入れており、おかげさまでお客様より高い評価をいただいております。サポートのために自前のネットワークオペレーションチームやSOC(Security Operation Center)を運営しており、24時間×365日体制でセキュリティリスクを監視します。日本法人にもSOCのメンバーが在籍しているため、日本のお客様に対しては日本語によるサポートも提供しています」(鈴木氏)
今後も、Fastly Next-Gen WAFを「セキュリティ対策の中核を担う製品」として有効活用していきたいとレロイ氏。同氏はFastlyに対し、引き続きこれまで通りの充実した支援を望むとともに、今後の期待を次のように述べた。
「今後は、AIを悪用した高度な攻撃がさらに増えてくるでしょう。そうした最新の脅威にもしっかり対応していただけることを期待しています。Fastlyには単なるベンダーとしてだけでなく、Paidyのセキュリティチームの一員として深く関わっていただいておりますが、今後もPaidyのサービスをより安全で堅牢なものとすべく、弊社にとって有用な技術や他社事例などの情報をタイムリーに提供いただければ幸いです」(レロイ氏)
この記事は参考になりましたか?
提供:Fastly株式会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
