OFX Logo

OFX ユースケース

OFX は、オーストラリアのシドニーに本拠地を構え、Web アプリケーションを介して年間220億ドルを超える資金を処理する国際的な資金移動プラットフォームです。OFX は、インストールが簡単で使いやすく、本番環境でインシデントを引き起こさずに、悪意のあるトラフィックを効率良く自動的に阻止できるアプリケーション・セキュリティ・ソリューションを求めていました。

課題


OFX は、オーストラリアのシドニーに本拠地を構え、Web アプリケーションを介して年間220億ドルを超える資金を処理する国際的な資金移動プラットフォームです。3年間におよぶクラウドへの完全移行を最近完了した OFX は、クラウドファーストのマイクロサービスインフラにおける OWASP 攻撃と認証の悪用に対する可視性と保護を強化したいと考えていました。


パートナーは、OFX ネットワークの内部にあるマイクロサービスと対話する API を介して OFX プラットフォームとやり取りします。
セキュリティプログラムとチームを構築する役割を担う
Head of Digital Security の Richard Lane 氏は、マイクロサービスが
暗黙的にその他のマイクロサービスを信頼しないよう徹底することを求めており、この点に関する可視性を実現できるプロダクトを探していました。
Lane 氏は、インストールが簡単で使いやすく、アフターケアが必要になったり本番環境でインシデントを引き起こしたりせずに、ログインを含む悪意のあるトラフィックを効率良く自動的に阻止できることが実証されたソリューションを求めていました。


ソリューション


ミッドティア環境に Fastly 次世代 WAF をデプロイして Web サーバー上にエージェントを配置することで、OFX は「アプリケーションの内部にアクセス」 (Lane 氏) できるようになりました。「Fastly は、当社に以前はなかった多大な可視性をもたらしてくれたのです」。


トレードオフのないエンジニアリングのメリット


軽量エージェントと対話する Fastly 次世代 WAF Web サーバーモジュールのプラグインを使用することで、セキュリティチームとクラウドアーキテクトは、エンジニアリングチームに負担をかけることなく簡単に Web サーバーをデプロイし、アプリケーションに対する深い可視性を獲得できました。
ソフトウェアを分単位でインストールした後、セキュリティチームは Fastly 次世代 WAF (Powered by Signal Sciences) を使用して、アプリケーションのエラーを特定し、より効率的かつ効果的に根本原因に対応します。


また、品質保証チームは、リリースプロトコルの一部として使いやすいダッシュボードを介して Fastly 次世代 WAF モニタリングを使用して、問題を素早く検知することが可能です。また、Fastly 次世代 WAF でレスポンスの異常パターンを確認することで、アプリケーションの RESTful API が想定どおりに機能していることを確認できます。


Power Rules を使用した認証の防御


OFX は、疑わしい攻撃者とパターンを検出するためにオリジン IP とユーザーログインの動作に対する可視性を求めていました。成功したログイン試行と失敗したログイン試行に対して Fastly 次世代 WAF Power Rules を設定した後、OFX は通常の認証トラフィックのベースラインを確立しました。リスク許容度が低くトラフィック量が少ない OFX は、Power Rules を使用してカスタムのしきい値を作成し、認証トラフィックが通常の動作から逸脱する場合は常に悪意のあるトラフィックであるとして積極的に警告およびブロックしていますが、これまで誤検出は一切発生していません。


ペネトレーションテストの可視性と検証


Power Rules のもうひとつのユースケースは、ペネトレーションテストに対する可視性を取得し、テストの幅と範囲を理解することです。これは、Fastly 次世代 WAF の初期評価時に効果を検証する上で役に立ちました。Fastly 次世代 WAF コンソールの UI を切り替えることで、特定のペネトレーションテストのソースに対する検出オン/オフを簡単に切り替えることができるため、OFX は、Fastly 次世代 WAF がペネトレーションテスト担当者の試行を阻止できたであろうことを確認できました。




"Fastly が OFX サイトに対する完全リリースを公開した際、Fastly 次世代 WAF をチューニングする必要が一切ありませんでした。従来の WAF の使用時に主な問題であった継続的なメンテナンスや手間をかけずに、プロセスを通じて効果的に機能すると確信していました。"

Richard Lane 氏
OFX のHead of Security

Fastly試してみませんか ?

アカウントを作成してすぐにご利用いただけます。また、いつでもお気軽にお問い合わせください。