Betterment は、CI/CD パイプラインにおいて自動スケール可能なセキュリティソリューションによってプロダクションアプリケーションを保護するために、Fastly Next-Gen WAF (Powered by Signal Sciences) を採用しています。
Betterment はお客様の個人情報 (PII) と金融資産を保護するために、継続的なシグネチャのチューニングが不要で、パフォーマンスに影響を与えずに自動的にスケーリングし、攻撃をブロックできるソリューションを必要としていました。
運用資産が140億米ドルを超えるオンライン・ファイナンシャル・アドバイザリー企業の Betterment は、同社のオンラインプラットフォームにアクセスする38万人超の顧客基盤をサポートするために、継続的インテグレーション/継続的デプロイメント (CI/CD) パイプラインを通じて毎日多数の Web サーバーを稼働させています。
ユーザーアカウントの安全性を維持する上で、ユーザーアカウントが攻撃を受ける可能性や、攻撃のタイミングと方法を把握することが重要です。Signal Sciences を実装する以前、Betterment のエンジニアリングチームとセキュリティチームにとっての最大の懸念は、(従来型の WAF を使用した過去の経験から) 誤検知の多さでした。同チームは、サポートへの問い合わせ件数やエンジニアリング/セキュリティチームの作業負担を増やすことなく、自動的にスケーリングして正確に攻撃をブロックできる WAF を必要としていました。
Signal Sciences を導入して以来、デプロイと更新を自動化し、パフォーマンスを損なうことなくデータに基づいたインサイトをすばやく得られるようになり、Betterment のセキュリティチームの作業負荷が軽減されました。
Signal Sciences をプロビジョニングする際に、新しいアプリケーションインスタンスで Signal Sciences のモジュールとエージェントが CI/CD パイプラインの一部として自動的にインストールされるようにするために、Betterment の運用チームはシンプルな Ansible の Playbook を作成しました。「インストールや更新のための手動操作は一切不要でした」と、Betterment で Lead Security Engineer を務める Anson Gomes 氏は述べています。元セキュリティコンサルタントの Gomes 氏が以前、ネイティブにスケーリングできない従来型の WAF をテストした際、すべてのアプリケーションサーバーに WAF インスタンスを新たにデプロイする必要があったため、コストと複雑さが増大し、管理する時間の余裕もありませんでした。
Betterment のチームは、導入後すぐに利用でき、悪意のあるリクエストをブロックできる Signal Sciences の堅牢なセキュリティカバレッジに感銘しました。アプリケーションの パフォーマンスや可用性を損なわず、Betterment の攻撃対象領域を拡大しないことも Signal Sciences のメリットです。
情報を可視化する使いやすいダッシュボードにより、検出された脆弱性を明確にして各担当チームに報告することで、迅速な修正が可能になります。
また、Signal Sciences を通じて、運用チームもさらなる可視性を得ることができました。ダッシュボードに表示された標準スキャンの結果から、アラートシステムの調整とアプリケーションの動作の修正に使用された不明なサービスや誤設定が明らかになりました。
Betterment は、実装後すぐに悪意のあるトラフィックを自動ブロックする検出機能に加え、
Power Rule を利用して同社独自のアプリケーションロジックに対する攻撃を防ぎ、
金融データの安全性を維持しています。例えば同社では、
API に対する不正アクセスを定義および監視し、リクエストの送信元の情報に基づいてアクセスを制限することで
攻撃をブロックできます。また、ダッシュボードのドロップダウンメニューで
簡単に設定できる、アカウント乗っ取り (ATO) 防止のための Power Rule を活用し、
ユーザーアカウントの侵害防止に役立てています。
「誤検知の少なさが Signal Sciences を選択する決め手になりました。この WAF のおかげで、セキュリティチームは、当社のアプリケーションに対する悪意のあるアクティビティを把握・追跡し、お客様の安全を守ることができます。Signal Sciences をデプロイして設定を済ませて以来、誤検知は一度も発生していません。セキュリティチームの作業負荷は軽減され、ユーザーエクスペリエンスも快適です。また、脅威の状況が刻々と進化する中で、新しい攻撃ベクトルやペイロードに対処するルールの設定や変更も可能なので、ビジネスリスクを軽減できます」
Anson Gomes 氏
Lead Security Engineer
「導入後すぐに効果を発揮し、自動的にスケールアップするだけでなく、アプリケーションを保護しながら優れた可視性も提供してくれます」
Anson Gomes 氏
Lead Security Engineer