ブログに戻る

フォロー&ご登録

高速かつセキュアな Fastly

Lakshmi Sharma

Chief Product & Strategy Officer, Fastly

組織がテクノロジースタックやプロセスを構築する際に直面する最も一般的なトレードオフは、セキュリティを優先してスピードや俊敏性を犠牲にするか、または高速なイノベーションとプロダクトのデリバリーを優先してセキュリティ体制を犠牲にするかの二者択一です。これまでは良い解決策がなかったため、このような選択に関する会話が延々と行われていましたが、Fastly という解決策が存在する今、そのような会話を聞くと、ため息がでます。このブログ記事では、Fastly のお客様がアプリケーションと API のセキュリティを強化しながら、より高速かつ簡単にイノベーションを実現できる環境をアプリケーション開発者に提供する鍵となる、4つのポイントをご紹介します。

  1. DevOps が簡単にセキュリティを確保できるようにすることで、組織の SecOps が容易になる

  2. 作業を楽にするよりスマートなセキュリティソリューション

  3. セキュア・バイ・デザインのネットワークとプラットフォーム 

  4. キャッシュ不可能だったアセットをキャッシュすることで、セキュリティとパフォーマンスの両方を大幅に強化

詳細については、Fastly の最新ホワイトペーパー「マルチレイヤーセキュリティのための AppSec ガイド」をご覧ください。

1. DevOps が簡単にセキュリティを確保できるようにすることで、組織の SecOps が容易になる

優れたプラットフォームエンジニアリングでは、既存のプロセスにセキュリティを組み込むことが可能なソリューションが使用されます。これにより、セキュリティを強化できるだけでなく、作業が楽になり、開発プロセスを高速化することが可能になります。アプリケーション開発者が、通常のデプロイワークフローの一環として、自動で WAF をプロビジョニングし、管理することで、同時に複雑さを軽減しながらボトルネックを排除し、セキュリティコンプライアンスを大幅に強化できるのです。DevOps チームは、Terraform や API、SDK、Fastly のアプリケーションを使用して、Fastly が提供するプロビジョニングと管理機能を簡単に利用できます。その結果、Fastly のネットワークサービスで利用できるソリューションのプロビジョニングが簡単になるだけでなく、WAF のプロビジョニングを組織の CI/CD パイプラインに組み込むことが可能になります。 

Next-Gen WAF (NGWAF) はエッジ、オンプレミス、クラウド、ハイブリッドクラウド、マルチクラウド、コンテナ、マルチ CDN アーキテクチャなど、デプロイする場所を選びません。コンテナやサービスメッシュ、API ゲートウェイ、リバースプロキシ、ARM 環境、AWS Lambda を含め、どこにでもデプロイできます。

さらに、(高性能の) NGWAF ひとつで、組織に存在しているか、今後導入するすべてのアプリケーションと API を単一のダッシュボードで管理できます。このシンプルな統合型アプローチにより、組織はベンダーを整理できるというメリットが得られ、それだけで十分に元が取れると感じられるほどです。安全性を維持しながらアプリケーション開発者を解放し、イノベーションを加速することができます。

2. 作業を簡単にするよりスマートなセキュリティソリューション

常に警戒を必要とするセキュリティツールは、本質的にあまりセキュアであるとは言えません。正規表現ルールに依存する WAF は管理の負担が大きく、特にアプリケーションが一日に何度も更新されるような CI/CD ワークフローを実践している組織には適していません。ルールセットやルールの例外、アプリケーションにおける変更などに絶えず注意する必要があるようでは、プロセスのどこかで犠牲が生じることは避けられません。例外を作りすぎてセキュリティが甘くなるか、セキュリティを確保するために開発が抑制されるかの二者択一を迫られます。 

正規表現はパワフルで素晴らしいツールですが、すでに何を探すべきか分かっている場合に最も効力を発揮し、常に高度に変化する攻撃をブロックするためのセキュリティルールには向いていないのです。正規表現ではなく、 SmartParse と呼ばれる独自の技術を使用している Fastly の Next-Gen WAF (NGWAF) を採用することで、管理に必要なオーバーヘッドを大幅に減らしながら精度を向上させることが可能になります。これは、SmartParse によって攻撃のシンタックスを理解し、他の WAF では誤検知されるような無害なリクエストと攻撃リクエストを見分けることができるためです。また、CI/CD ワークフローで頻繁に更新されるアプリケーションに対しても、より堅牢なセキュリティを提供します。アプリケーションに変更が加えられるたびに奔走することなく、確実に保護されているという安心感が得られます。 

SmartParse の精度の高さがもたらすメリットは他にもあります。NGWAF は、他社には真似することのできない、悪意のある IP アドレスに関する集合的脅威インテリジェンスを活用しています。具体的には、NGWAF が保護する9万を超えるアプリケーションと API に送信される月間平均約4.1兆件* に上るリクエストの検査データが、Fastly 独自の Network Learning Exchange (NLX) にフィードされます。NLX は悪意のある IP アドレスに関する情報をリアルタイムで交換するシステムです。NLX によってこのような情報が自動的に Fastly NGWAF のすべてのお客様にプッシュされ、スマートな脅威の検出が可能になるほか、リクエストが NGWAF を通過する前に NLX によってフラグされた IP アドレスを先制的にブロックすることもできます。組織を足踏み状態にとどめるのではなく、前進させることのできるセキュリティ対策の構築に興味のある方は、ぜひご連絡ください。Fastly は、実際のビジネス環境で役立つ WAF を提供します。

3. セキュア・バイ・デザインのネットワークとプラットフォーム 

NGWAF が提供するアプリケーションレイヤーでの保護に加えて、トラフィックを Fastly のネットワークやサーバーレスエッジに移行するだけで、セキュリティ上のメリットが得られます。Forrester Consulting による最近の調査** では、Fastly の使用経験がある方たちのインタビューを基に構成されたモデル組織について、いくつかの重要な調査結果が紹介されています。 

  1. 調査参加者は、優れたコア機能を備えた Fastly CDN の実装後すぐに複数のレイヤーから成るセキュリティ機能が自動的に効果を発揮し、サイバー攻撃と悪質なトラフィックを削減できたと報告しています。ある eコマース企業の最高セキュリティー責任者は、「これまでは当社のオペレーションセンターが介入して対応する必要があった悪質なコードやアプリケーションレベルの基本的な攻撃のすべてが、Fastly を実装した途端に自動的に処理されるようになりました。このような効果のコスト的メリットや価値を数量化するのは困難ですが、以前よりよく眠れるようになったのは確かです」とコメントしています。

  2. また調査参加者は、Fastly の機能によって悪意のあるアクティビティを阻止し、トラフィックの急増にすぐに対処できたため、Webサイトのダウンタイムを削減できたと報告しています。旅行/ホスピタリティ業界のある企業のエンジニアリング部門責任者は、次のように述べています。「Fastly のおかげで大量に押し寄せるトラフィックをブロックし、システムダウンを回避したことが何度かありました。Fastly なしではこのレベルのスケールアップには対応できなかったでしょう。このようなインシデントは数時間に及ぶこともあり、その間トラフィックの急増に対応するためにスケールアップを試みました」

  3. モデル企業では、顧客の問題解決に費やす時間が減少した上、セキュリティインシデントも減りました。Fastly の CDN をデプロイした結果、セキュリティインシデントが40%も減少した企業もありました。

より多くのロジックを Fastly の Compute サーバーレス・エッジ・プラットフォームに移行させることで、さらに大きなメリットが得られます。Compute はセキュア・バイ・デザインを基本に構築され、各リクエストごとにサンドボックスが使用されます。また、不審なログインの発見やパスワード検証を含むさまざまな機能を簡単に構築し、SecOps チームのようにサーバーレスデプロイの経験が比較的少ないチームでも、安全かつグローバルにこれらの機能をデプロイできます。エッジで実践する最先端のアプリケーション開発について、詳しくはこちらをご覧ください。

4. キャッシュ不可能だったアセットをキャッシュすることで、セキュリティとパフォーマンスの両方を大幅に強化

Fastly は長年にわたり、最高のパフォーマンスと設定機能を求め、可能な限り多くのコンテンツをキャッシュすることを望む組織に選ばれてきました。その一方で、キャッシュによるパフォーマンス向上はセキュリティの強化にもつながるということは、まだあまり知られていません。セキュリティ指標としてのキャッシュヒット率に関するこのブログ記事では、コンテンツキャッシュをセキュリティレイヤーとして扱うべき理由とその方法に加えて、より多くの種類のコンテンツをより多くキャッシュできる Fastly ネットワークへの移行を、組織が優先すべき理由について詳しく解説しています。また、Compute のエッジデータ機能が拡張され、これまで以上に多くの形式のロジック、データストア、プロセスをエッジに移行し、オリジンサーバーのさらなる縮小、簡素化、保護の強化が可能になりました。 

Fastly のプロダクト一つひとつにそれぞれの強みがありますが、これらをすべて組み合わせると、さらに素晴らしいことを実現できます。ぜひそれを実証させてください。皆さまのご連絡をお待ちしています


* 2023年6月30日現在における6か月間の平均
** Fastly の委託により、Forrester Consulting が2023年7月に実施した調査レポート「The Total Economic Impact™ Of Fastly Networks Services」のデータより。