Fastly によってセキュリティとビジネス成長のバランスを実現している Spread Group 

パーソナライズされたキャップからクリエーター向けのプラグアンドプレイのマーチャンダイズストアまで、Spread Group はカスタマイズされたファッションとライフスタイルを総合的にプロデュースします。ドイツのライプツィヒに設立された同社はグローバルにビジネスを展開しています。1,000人以上の高い技術を持つスタッフを43か国で雇用し、欧州と米国に構えた4つの製造施設でパーソナライズされたアパレル商品やアクセサリーを生産しています。 

このようにグローバル規模のビジネスを維持し、オンラインでクリックして注文された商品を、お客様に確実に届ける上で、セキュリティを配信に組み込むことの重要性が高まりました。Fastly の CDN ソリューションをすでに導入し、そのパフォーマンスに満足していた Spread Group は、進化し続ける自社のプラットフォームにしっかりとフィットする柔軟性の高いセキュリティソリューションとして、Fastly の Next-Gen WAF に目を付けたのでした。 

Fastly CDN で独創的な配信を実現 

Spread Group は、「Spreadshirt」、「TeamShirts」、「Spreadshop」の3つの独立したブランドを運営しています。同社は、「アイディアをプリントする」という遠大なミッションを掲げ、カスタマイズされた衣類を求める顧客や企業と、オンデマンドでマーチャンダイズを販売する独立したクリエーターをつなぐ役割を果たしています。 

このような独自のビジネスモデルを成功させる秘訣は、商品のデザインやマーケティング、販売、製造、決済、配送、カスタマーサービスのすべてが統合されたパワフルなプラットフォームにあります。 

月間平均61.7億件のリクエストが発生していたこの革新的な企業にとって、まずは配信を強化できる CDN を見つけることが当初の優先課題でした。 

そこで Spread Group は、以下を実現するFastly の独創的でカスタマイズされた CDN ソリューションを2016年に 採用しました。 

• 開発者が変更を12秒でロールアウトすることを可能にする、優れたチャットボット

• リアルタイムのインサイトを提供するライブログ

• A/B テストの最適化

• 全体的なキャッシュのパージ時間を改善

これらの機能を備えた Fastly の CDN は、Spread Group の CI/CD (継続的統合/継続的配信/継続的モニタリング) のニーズを完全に満たしていました。 　 その結果、サービスの質と配信を改善すると同時に、迅速な機能のリリースと更新が可能になりました。 

複雑なサイバーセキュリティの課題 : 求められる高い柔軟性 

ひとまず順調な滑り出しでした。しかし、テクノロジー重視の企業が何もせずにリラックスするということはあり得ません。 

ダイナミックな配信環境を手に入れた Spread Group は、新たな課題に目を向けました。それは、常に進化し続けるプラットフォームとスムーズに連携する高い柔軟性を備えたパワフルな WAF を見つけることでした。 

同社は当時、可観測性機能を備えたセキュリティモニタリング向けの優れたインフラストラクチャを自社開発 (大部分がオープンソースソフトウェアで構成) して使用していました。セキュリティモニタリング機能によって攻撃がフラグされると、Fastly CDN を使用して開発されたチャットボットで対処していました。 

しばらくの間はこの方法で対応できましたが、長期的に通用するソリューションではありませんでした。 

• 脆弱なレガシーコンポーネントを最新化するのに時間がかかるため、ブロックモードで実行できる柔軟性の高い WAF が必要でした。 

• ブロックモードを使用する場合、大がかりな設定作業を行わないと、プラットフォームの機能が大幅に制限されるため、オープンソースツールは非ブロックモードで使用されていました。 

• 優れた可観測性機能を通じてセキュリティに関する豊富なインサイトを提供し、ビジネスニーズとのバランスを取りながら効果的なセキュリティ対策を実現できるソリューションが理想的です。 

Spread Group は、制限が少なく、セキュリティとビジネスのニーズのバランスを保つことが可能な、フェイルオープンのアプローチを採用した WAF を求めていました。自動化ツールやボット、DDoS、XSS、SQLi 攻撃などの脅威に対抗する上で重要となる、高速なレスポンス時間も欠かせませんでした。 

それだけではありません。(短いリリースサイクルを維持するために）ルールの調整に必要な手作業の量が少ないことや、(Spread Group のトラフィックインフラに統合できるよう) さまざまなデプロイタイプに対応できることも、新しい WAF を選ぶ上で外せない条件でした。これは容易なタスクではありませんでした。 

しかし、Fastly の CDN に満足していた Spread Group は、Fastly Next-Gen WAF を第一候補として検討したのでした。 

Fastly Next-Gen WAF : 直感的に使用できる統合型セキュリティソリューション 

Spread Group が WAF ベンダーとして Fastly を選んのは、部門間の協力の結果でした。最終的な決定を行ったのは、製品を評価し、概念実証のテストを実施したプラットフォームセキュリティ担当の専門チームでした。一方、運用チームも自社インフラストラクチャへのセットアップに関するフィードバックを提供しました。 

しかし、何よりも重視されたのはテスト結果でした。Spread Group は、WAF を評価するために、2つのテストサイトを用意しました。ひとつ目のサイトは、ブロックモードとその他のコンポーネントをテストするために QA 環境で動作していました。もうひとつのサイトでは、最初は WAF を非ブロックモードで実行した後、本番環境でブロックモードに切り替えました。

Spread Group チームは、Burp Suite とその他の攻撃ツールテストを手動、または自動化して実行し、WAF によってどのルールが施行されるかを確認しました。また、ブロックモードが有効化された状態で、中核となるビジネスフローが機能するかどうかもテストしました。

一目瞭然だった Next-Gen WAF の秀逸さ 

• Fastly Next-Gen WAF は、ビジネスにとって重要な機能に影響を及ぼすことなく悪質なリクエストのみをブロックし、競合製品よりも識別力の高いブロック技術を披露しました。 

• パフォーマンスの高い Fastly の WAF では、リクエストを分析するためにオーバーヘッドやレイテンシが大幅に増えることはありませんでした。  

• API ファーストのアプローチを採用した Fastly の WAF は、Spread Group の既存のセキュリティエコシステムとスムーズに統合し、ヘッダーリンクの検査とフィルタリングをサポートしました。 

• 将来的に、この WAF を Fastly のサーバーレス・コンピューティング・ソリューション Compute@Edge と組み合わせて活用できることもメリットでした。

結果 : 7つの主なメリット 

 Spread Group が Fastly Next-Gen WAF の採用を決定した際、以下の7つの主なメリットが決め手となりました。

1. 分析機能によるインサイト

2. インサイトを提供するシグナル

3. 直感的な UI

4. しきい値ベースのブロック手法 (ルールに対する詳細な設定が可能)

5. 優れたパフォーマンス (受信リクエストに対する判断スピードが非常に速い)

6. フェイルオープンのアプローチ

7. API ファーストのアプローチ

例えば Fastly のソリューションアーキテクトは、運用チームのオンボーディングをサポートし、可能な限りインクルーシブでアクセスしやすいソリューションの構築に、最初の段階から取り組みました。 

テストと実装のプロセス全体に3か月を要しましたが、それ以来 Spread Group は Fastly のサービスに満足しています。サポートチケットを提出すると、CSOC (Customer Security Operations Center) が問題を速やかに解決し、専門の担当者がいつでも電話や Slack でのお問い合わせに対応します。

Spread Group は一般的な組織とは異なります。同社の事業は精密に調整されたテクノロジーから物理的な製造まで広範囲に及び、複雑なプラットフォームを使用していますが、これがますます巧妙化する脅威にとって魅力的な攻撃対象領域となっています。 

私たちは、このようにエキサイティングなファッション・ライフスタイルブランドが、Fastly のソリューションを活用して自社のアセットを保護し、卓越したパフォーマンスを維持していることを、とても嬉しく思います。 

独創的な配信 + 柔軟なセキュリティ = ビジネスの進化。私たちも、これをプリントしたTシャツを作ってみたいです。