Commonbond logo


CommonBond は無理のないローンソリューションを提供しています。同社の商品は、人々がお金を節約し、持続可能な影響を促進できるようにすることを目的としています。2012年の設立以来、CommonBond は良心的なローンに50億 USD 以上の資金を提供してきました。同社は、低金利、シンプルなオプション、ワールドクラスのカスタマーエクスペリエンスをモットーに、ローン返済の道のりを通じて顧客をサポートしています。

commonbond.co
業界 : ファイナンスサービス
本拠地 : 北米
利用開始 : 2018年


主な利用機能
Next-Gen WAF

AWS使用する CommmonBond Fastly保護


オンラインでの申し込みプロセスによる学生ローンの借り換えを手がける CommonBond にとってセキュリティはきわめて重要です。同社は AWS を利用していたため、Web アプリケーションの保護に AWS WAF を検討したものの、Fastly の先進的なアプローチを選びました。


CommonBond は同社の Kubernetes 環境に Fastly の Next-Gen WAF をデプロイしています。このソリューションは、効果が高く、非常に管理しやすいことが証明されました。同社の少数清悦のチームにとって、実装してすぐに使えるソリューションには大きなメリットがありました。ユーザー数とアプリケーションフットプリントの両方において将来的な増加を見込んでいる CommonBond は、柔軟なデプロイ方法と DevOps ツールチェーンとの統合を重視しています。これらによって、現在そして将来において、どこでどのようにアプリケーションをデプロイしても保護することが可能になるためです。


課題


Amazon Web Services Web Application Firewall (AWS WAF) をデプロイして AWS 上のアプリケーションを監視して保護するのは、シンプルな選択肢のように思えるかもしれません。Amazon Web Services Web Application Firewall (AWS WAF) をデプロイして AWS 上のアプリケーションを保護するのは、シンプルな選択肢のように思えるかもしれません。しかし実際のところ、AWS WAF は正規表現 (regex) ルールと独自のアプリケーションに依存しているため、精度の高いブロックと柔軟性を必要とする組織がスケールさせるのは困難です。CommonBond が評価を行ったところ、Fastly Next-Gen WAF に比べて AWS WAF には不足している部分があることが分かりました。


最先端の攻撃検出メソッドの欠如
AWS WAF の Managed Rules は攻撃の検出に正規表現ベースのルールを使用しています。このシンプルなマッチング手法は、シンプルなクエリやトラフィックリクエストに対して誤検知を発生させる可能性があるため、今日の巧妙な攻撃への対処に適していません。また AWS WAF は、大規模な攻撃を緩和するうえで重要となる高度なしきい値ベースの機能を備えていません。


高いメンテナンスコスト
AWS WAF のルールは WAF 内に単独で存在していません。ルールを定義するには、Web ACL やマネージドルールグループを設定する必要があります。Web ACL やルールグループ内でルールを設定する際、異なるレートや要件が適用されるため、ルールの作成や管理によって総保有コストが増加します。また、料金請求が複雑化し、予測不可能になります (特に突然トラフィックが急増した場合)。アプリケーションやサービスがスケールアップするにつれ、これは大きな負担となります。


エコシステムとサードパーティとの依存関係
ツールや環境に関して柔軟性を必要とする組織は、AWS のエコシステム内では不自由に感じることがあります。このエコシステムでは、業界標準のソフトウェアに加えて人気の高い DevOps ツールの独自バージョンが推奨されているためです。さらに、AWS WAF には基本のルールセットが存在し、ルールを追加するたびに、AWS 内またはサードパーティのセット (マネージドルールグループ) を通じて購入しなければなりません。


マルチクラウドやハイブリッドクラウド全体を統合管理できない
すべてのプロパティが AWS で運用されていない場合、AWS の外にあるアプリケーションやサービスのセキュリティに関する統合されたビューが提供されません。AWS はネイティブコントロールを求めるアプリケーションチームにとって、適した選択肢のひとつですが (単一クラウドのユースケースの場合)、ハイブリッド環境やマルチクラウド環境を使用しているネットワークセキュリティチームやエンタープライズにとっては可視性が不足しています。


ソリューション


クラウド環境にアプリケーションをデプロイすることで、組織はビジネスの俊敏性とデータの可用性を強化しながら、コストを削減できます。しかし、依然としてセキュリティが主な懸念材料のひとつとなっています。クラウドネイティブのアプリケーションを運用している組織の73%が、脅威や進行中の攻撃に対する実用的かつ詳細なリアルタイムのインサイトが得られないと語っています。


Fastly の Next-Gen WAF によって、クラウドチームと DevOps チームは AWS で運用しているアプリケーションや API、マイクロサービスを容易に保護することができます。簡単にデプロイできる Fastly のソフトウェアはパフォーマンスに大きな影響を及ぼすことなくあらゆるアプリケーションをサポートします。すべての攻撃から保護し、任意の DevOps ツールチェーンと統合してチーム間で共有できる可視性を提供します。

Fastly試してみませんか ?

アカウントを作成してすぐにご利用いただけます。また、いつでもお気軽にお問い合わせください。

Fastly 無料トライアル問い合わせ
Fastly
© Fastly 2024