GitGuardian のシークレットを守る Fastly Next-Gen WAF

効果が実証済みのコードセキュリティスキャンとシークレット検出の技術において、GitGuardian はジュリアス・シーザー並みの指揮能力とシャーロック・ホームズ並みの分析能力を持って課題に挑んでいます。同社のリアルタイムのスキャン、検出、修正機能により、開発、セキュリティ、運用チームは API キーやパスワード、証明書、暗号化キーなど機密性が高い情報がソースコードに含まれるのを防ぐことができます。これにより、時間とコストを節約し、管理上の手間を省けます。

2017年以降、GitHub のパブリックレポジトリにプッシュされた30億以上のコミットをスキャンしてきた GitGuardian は、需要の大幅な増加を経験しています。しかしその一方で、ユーザーベースの拡大は同社が使用している使いづらい WAF ソリューションの限界を露呈しました。従来型 WAF の高い誤検知率はアプリケーションに支障をもたらしていたうえ、ユーザーエクスペリエンスを脅かしていたのです。すぐにより優れた WAF に乗り換える必要があるのは GitGuardian チームにとって明らかでした。

許容できない例外

GitGuardian は、同社の SaaS プラットフォームへの統合のしやすさを理由に以前のクラウドベース WAF を選びました。しかし当時の WAF は、開発者やエンジニアからのコードを含むアプリケーション内メッセージや顧客システムの自動化された Webhook が送信するメッセージを誤ってブロックすることがありました。この問題を解決するのは非常に大変な作業でした。約100件のルールについて例外を設定する必要があり、これは全エンドポイントのおよそ10%に当たりました。2022年に GitGuardian チームが同社のアプリケーションを Kubernetes に移行することを決めた際、既存の WAF を移行するのに非常に多くのエンジニアリング作業が伴うことが予想されました。しかもその WAF ソリューションは明らかに信頼性に欠けていたのです。機能性に優れた新しい WAF の導入に向けて機運が高まり、GitGuardian は望ましいソリューションに関する具体的な条件をまとめました。

• WAF は攻撃を効果的に検出してブロックし、セルフホスト型で高い可用性を備えている必要がある。


• WAF のルールは IaC (Infrastructure as Code) 言語で記述され、簡単に開発者が変更を提案し、セキュリティチームがそれを監査できる。


• WAF のログを Elastic にエクスポートでき、WAF によって生成されるリクエスト ID を使用して他のログと相関させることができる。


• WAF は Kubernetes にホストされ、システムとルールの更新が自動化されており、デプロイが簡単で初期セットアップに4営業日以上かからない。

最後に、セキュリティやシークレットの保護がビジネスの中核を成す GitGuardian にとって、WAF プロバイダーを信頼できることも最重要条件のひとつでした。

Fastly の Next-Gen WAF はこれらの (さらにその他の) 条件において、他のベンダーよりも秀でていました。ただし、Fastly の WAF が「理論上だけではなく実際にも優れたパフォーマンスを発揮できるのか？」という疑問がまだ残っていました。

高い信用と信頼性

Fastly Next-Gen WAF を導入した結果、例外は必要なくなりました。これは GitGuardian にとって最も重要なポイントでした。SmartParse のインテリジェンスにより、スキャン用に提出された通常のコードスニペットが攻撃ペイロードと見なされることなく、正常なものとして処理されます。一方、このソリューションによってチームは本物の攻撃に対して鉄壁を築くことができます。GitGuardian はカスタマイズされたダッシュボードを作成し、攻撃スパイク発生時にアラートがすぐに送信されるように設定しました。脅威が素早く検出され、ブロックされるという認識によって安心感が得られ、これは小規模なチームが作業に専念するうえで非常に重要です。パワフルなモニタリングとセキュリティの可視性で守られていると感じることで安心して作業に打ち込めます。

そして、Fastly の Next-Gen WAF が GitGuardian にもたらした最も大きなメリットは高い信頼性でした。これはとても重要なポイントで、Next-Gen WAF は GitGuardian の4つの異なる環境 (サンドボックス、ステージング、本番前、本番) を通じてシームレスに展開できます。4つの環境で新規ルールを手動で管理するのではなく、IaC 自動化を利用して順次変更をデプロイできるのです。これにより、何らかの変更が本番環境にロールアウトされる前にワークフローを確実に検証することが可能になります。

卓越したログ機能とサポート

GitGuardian は Istio を使用する Kubernetes 環境に Next-Gen WAF をデプロイした最初のお客様のうちの1社だったため、同社は Fastly の Senior Solutions Architect である Alexander Orlov と緊密に連携してカスタムソリューションを開発しました。そもそも、非標準的なデプロイにおいて標準化されたドキュメントの内容に従うだけでは十分でなかった事実がハードルとなっていたのです。Istio には独自のネットワークプロトコルと決定プロトコルがあり、場合によってはリクエストを異なるコンテナに送信します。このことによってクライアントの機能性が影響を受けることはなく、WAF はリクエストをブロックし続けましたが、ログにおいて課題が生じました。

Fastly と連携して固有のデプロイの問題を解決した GitGuardian は、現在問題なく Kubernetes で Fastly を運用し、ログは ElasticSearch、メトリクスは Prometheus に送信され、Grafana に表示されます。GitGuardian の Kayssar Daher 氏は次のように述べています。「Fastly のセールスエンジニアチームは素晴らしかったです。特に Next-Gen WAF の優れているポイントを教えてくれて、私たちのセットアップのデバッグをサポートしてくれた Alexander には特に感謝しています」

初期の課題を克服するためのカスタムソリューションを開発した後、Daher 氏は特にログ機能について絶賛しています。

「Next-Gen WAF を利用するログソリューションにとても満足しています。Next-Gen WAF のデプロイ環境は、私たちが利用している他のアプリケーションとほとんど変わりません。つまり、WAF のログをあらゆる場所からデータレイクに送信するログパイプラインを私たちはすでに備えていました。そのため、ログパイプラインのセットアップに時間を費やす必要がありませんでした。Fastly のログは非常に正確かつ完全で、頻繁に利用しています」

また、GitGuardian は WAF のログ向けのインジェストパイプラインの調整に時間を費やし、迅速、簡単かつ頻繁にクエリを行えるようにしました。同社はセキュリティの強化と信頼の構築を専門としています。そのため、GitGuardian が同社のセキュリティセットアップを向上させる細かな調整に Fastly を選んだことは、Fastly の技術的な柔軟性と専門性の高いサポートによって素晴らしい結果を生み出すことが可能であることを証明しています。GitGuardian がステルスモードでシークレットを保護するミッションを遂行し続けるなか、影でコラボレーションできるのを密かに楽しみにしています。