セキュリティの強化に向けてエッジクラウド戦略を加速させているファイナンスサービス

Fastly の業界レポートでは、業界がクラウド戦略を採用する主な動機のひとつとして、スピードとパフォーマンスの最適化に焦点が当てられがちです。しかし今回は異なります。ファイナンスサービス業界で最も重視されるのはセキュリティです。パフォーマンスも重要な要因のひとつですが、従来的にパフォーマンスへの関心は二の次、三の次とされていました。これとは対照的に、Fastly のデジタルパブリッシング業界に関する業界レポートでは、どのトップパブリッシャーも (他の多くの業界をしのぐ) 高速なページの読み込みを実現し、サイトやアプリケーションのパフォーマンスを最適化させたいという共通した意欲を抱えていました。パブリッシャーの収入は Web トラフィックの量によって左右されることが多く、高速な読み込みは検索ランキングやユーザーエクスペリエンス、エンゲージメントの向上につながります。収入や収益性がサイトパフォーマンスのミリ秒単位の改善に直結していない他の業界では、パブリッシング業界に比べてプレッシャーが少ないと考えられます。 

ファイナンスサービスとフィンテック

フィンテックはテクノロジーの進化に注力し、破壊的なソリューションをもたらすことがよくある一方、ファイナンスサービスは従来型の金融業務やサービスを提供する安定したセクターに属します。決済プロセスや商取引の分野に集中しているフィンテックは、サイトパフォーマンスに照準を定め、プロセスのあらゆる可能な部分でスピードをミリ秒単位で加速させることに注力しがちです。Stripe や PayPal といった組織がサイトの安全性や可用性を重視することは容易に想像できますが、これらの組織は常にスピードと効率性も追い求めています。一方、ファイナンスサービスの情報やデータの大部分はスタッフや顧客に配信される必要がありますが、実際のビジネスオペレーションはパブリックインターネット上で行われず、少なくとも Stripe のような組織が処理しなければならない規模の取引がパブリックインターネット上で行われることはありません。 

壊れていない限りは修正しない (非常にスピードが遅くても)

データ侵害や不安定な状態がもたらすリスクは、若干のパフォーマンス低下のリスクよりもはるかに深刻です。従来、ファイナンスサービス組織は安定性と安全性を重視するため、デリバリーインフラストラクチャにおける変更やリスクを避ける傾向があります。多くの規制に縛られる金融機関は、非常に機密性が高い重要なデータを扱うため、データ侵害は大きな被害をもたらす可能性があります。ダウンタイムや緩和作業による収益の損失という直接的な影響に加え、マイナスなブランドイメージが影響し、評判や将来的な収入が損なわれる大きなリスクを抱えています。その上、関連する法的責任が問われ、罰金のみではなく、より多額の費用がかかる法的措置やコンプライアンスへの対応が必要になり、ブランドイメージがさらに悪化して企業パフォーマンスが低下しかねません。

ファイナンスサービス組織は富裕層の個人や高収入の口座を扱うことが多く、別の金融機関に口座を移すにはコストがかかるものの、ブランドにマイナスイメージをもたらした出来事が口座を解約する引き金となり、多額の損失につながる可能性があります。金融機関がリスクを嫌い、アプリケーションの保護を優先させるのはもっともです。 

セキュリティ強化が乗り換えコストよりも優先され始めている

多くの金融機関は長年にわたって事業を営んでおり、大手金融機関の一部はインターネットが登場するはるか前から存在しています。これらの金融機関は何十年もの間、従来型ベンダーの複雑なアーキテクチャと実装で固められ、より優れたソリューションへの乗り換えは途方もなく大変であると感じています。パフォーマンス上のメリットだけでは、古い CDN の交換に要する一度限りのコストを負担するよう DevOps チームやエンジニアリング部門の幹部を説得することはできません。たとえ乗り換えのメリットが明らかであっても、若干スピードが遅いとはいえ安定性に問題がなければ被害はないとみなされるためです。 

これまで深く根付いているベンダーを排除して新しいベンダーに乗り換えることを避けてきた業界は、セキュリティをめぐる環境が変化し、特に Web アプリケーションと API を保護する (WAAP) ツールやボット管理ツールなど、より優れたソリューションが市場に登場するのに伴い、考えを改めつつあります。CISO やセキュリティエンジニアチームのリーダーは、パフォーマンス改善のためだけでは認められなかった乗り換え費用も、より精度の高いブロック、チューニングとメンテナンス作業の大幅な削減、インシデント解決に要する時間の著しい短縮を実現する、高度な統合が可能な優れたセキュリティツールを導入するためであれば、簡単に正当化できることに気づき始めています。さらに、DevOps チームの作業環境の改善、オリジンのオフロードの拡大、データ送信コストの削減、サイトやアプリケーションの配信スピードの加速を同時に実現できるというメリットもあります。

大規模なマイグレーションを促進する10件のセキュリティ上のメリット 

最良のセキュリティツールは、使いやすさ、精度、必要な労力の削減、チームの生産性向上、高度な脅威インテリジェンスにおいて、他を大きく引き離して進化しています。 

Fastly では、何が欠けているのかを理解していないお客様を多数見てきました。このようなお客様は、Fastly の Next-Gen WAF やボット管理ソリューションの使用を開始する際、使い慣れている従来型 WAF と変わらないだろうと考えがちです (多数の誤検知が発生する、使いづらい、限られた可視性しか得られない、正規表現ルールの管理とアップデートが非常に面倒など)。しかし、Duolingo をはじめとするお客様は、効果的に機能して作業を飛躍的に楽にできる選択肢が存在することに繰り返し気づくと、過去のソリューションには見向きもしなくなります。次の10件の特徴やメリットを提供するソリューションをお選びください。これらに惹かれ、大規模なマイグレーションに積極的に取り組む企業が増えています。 

1. 簡単にセットアップして使用開始

ツールは使いやすくあるべきです。これは、使いやすさのレベルが低い従来型の WAF やセキュリティツールと比較して使いやすいという意味ではありません。誤検知を抑え、パフォーマンスを犠牲にすることなく堅牢なセキュリティ体制を維持しやすくするパラダイムシフトを意味します。容易に新たな脅威にリアルタイムで対応できるべきです。 

デプロイの際と、新たな脅威への対応の両方において、非常に素早く保護を提供できなければなりません。数週間や数日ではなく、効果的なソリューションを使用して数分で対応できる必要があります。「なぜこのようなトラフィックピークが発生しているのか？」、「このトラフィックは正当か？」といった基本的な問いに対する答えやインサイトを簡単に得られることが重要です。 

2. より優れたコントロールでプロフェッショナルサービスへの依存を軽減

使いやすく、優れたコントロールを提供するツールにより、自信を持ってコントロールしやすくなります。設定やルールの変更をライブのテスト環境で安全に実行して変更の影響をすぐに確認し、安心して実装できる必要があります。非常に多くの作業がプロフェッショナルサービスのチームによって行われなければならず、その結果、驚くほど多額のコストが発生する上、作業が遅く、新たな攻撃に適応するたびに保護に時間がかかりすぎるというボトルネックを多くの組織が抱えています。 

3. 簡単かつ素早くデプロイできる

数か月や数週間も待たずに、数分でデプロイして保護を開始できるソリューションを選ぶ必要があります。これは外せないポイントであり、長期的にみてそのソリューションがどの程度の柔軟性を備えているのかを早期に把握するのに役立ちます。多くの既存の顧客がこのようなデプロイ経験を証言している場合、良い兆候であると言えます。例えばデプロイのしやすさは Fastly の中核を成し、Fastly の Next-Gen WAF は10分以内に稼働させることが可能です (詳細はこちら)。 

さらにソリューションの初期デプロイ後、開発者は既存のワークフローにそれを簡単にデプロイできる必要があります。Terraform や一般的な CI/CD と互換性があるソリューションでは、アップデートやパッチがリリースされるたびに素早く簡単にデプロイし、開発プロセスの DevSecOps ワークフローを強化できます。 

4. あらゆる環境にデプロイ可能 (ベンダーの整理に貢献)

「使いやすさ」にはエクスペリエンスの統合も含まれます。例えば、セキュリティルールを調整して管理するために複数の WAF インスタンスを通じて作業しなければならない場合、そのうちのひとつのみが使いやすくても意味はありません。一番貧弱な WAF のレベルでしかセキュリティを提供できないためです。フットプリントの一部しかすぐに保護できない状況を想像してください。この場合、インフラストラクチャの残りの部分を保護するのにプロフェッショナルサービスの作業を待つ間、安全性を確保できません。 

「使いやすさ」は、あらゆるインフラストラクチャでデプロイできる柔軟性と、単一のビューですべての環境のオブザーバビリティが得られることを意味します。つまり、クラウドやコンテナ、オンプレミスのデータセンター、ハイブリッド環境、エッジで運用でき、新たなセキュリティ問題を生み出すことなくいつでもアーキテクチャの決定を行う選択の自由があると認識できることを意味します。 

さらなるメリットとして、ベンダーの整理がしやすくなります。つまり、部分的にしか問題を解決できない局部的なソリューションを排除し、セキュリティベンダーを整理できるという利点もあるのです。これにより、セキュリティや利便性におけるメリットに加えてコストカットが可能になります。 

5. 誤検知なしの精度

誤検知に悩まされるべきではありません。誤検知に対応する苦労が絶えない場合、時代遅れの WAF を使用しているサインです。手間をかけずに誤検知なしで正確に脅威をブロックできる革新的で優れた新しいソリューションが存在します。ブロック技術の進化について詳しくはこちらをご覧ください。 

また、(すぐに攻撃をブロックできることに加えて) しきい値ベースのブロックをセットアップ後すぐに実行できる WAF では、誤検知の心配なくブロックモードを使用し、タイムトゥバリューを短縮できます。特に WAF が優れた可視性も備えている場合、非常に高い精度でしきい値を継続的に調整し、誤検知をさらに減らすことが可能になります。

6. 簡単なルールの構築と管理

簡単かつシンプルで透明性の高い方法でルールを構築できることが重要です。新たな誤検知がもたらされることはないという安心のもとで、効果的な新しいルールを数分で構築してデプロイできる必要があります。このようなツールは、どのような問題が見つかってもルールを構築して対処できる柔軟性を備えていなければなりません。正規表現ルールは役に立つことがあり、保護対策の一環として使用し続けることは可能ですが、新たに特定された脅威をすぐにブロックできる、よりシンプルな方法が必要です。

7. 先制的なブロックと脅威インテリジェンス

大半のユーザーが WAF を単なる後手対策のツールとみなしています。しかし、高度な脅威インテリジェンス機能を活用することで、悪意のあるリクエストが送信される、または WAF に到達する前に脅威をブロックし、セキュリティをさらに強化できます。これにより、以前は特定が困難だった不正なトラフィックの大部分をブロックできるというメリットが得られるほか、オリジンへのトラフィックを大幅に削減することが可能になります。例えば、Fastly の Network Learning Exchange のデータを基に作成されたこちらのレポートにて詳細をご覧ください。この機能により、IPアドレスに基づく先制的なブロックを行えるようになります。

8. ボット管理

セキュリティ環境におけるボットの影響は非常に大きく、今後も拡大し続けることが予想されます。そのため、使いやすさやデプロイのしやすさ、優れたコントロール、誤検知を発生させない高い精度、脅威インテリジェンスの利用を含む、上記のポイントをすべて押さえたボット管理ソリューションを選ぶことをお勧めします。また、ご利用の WAF と完全に統合させて単一コンソールで管理できるようにし、フットプリント全体にデプロイすることで、さらなる価値が得られます。ボット管理ソリューションは、組織のセキュリティ体制に新たな複雑さをもたらすのではなく、ベンダーを整理する機会の創出に役立つべきです。

9. 真のインサイトをもたらすオブザーバビリティ

ソリューションを稼働させるとすぐにリアルタイムダッシュボードにアクセスしてデータを確認し、インサイトが得られる必要があります。これにより、何が起きているのか、その原因は何か、どのようにして素早く解決できるかを判断しやすくなります。話ができすぎていて現実的ではないように聞こえるかもしれませんが、まさにこのような機能が促進剤となって組織はついに変革に向けて投資を開始しているのです。例として、Fastly によってようやくトラフィックに対するリアルタイムの可視性を得ることができた Stripe の事例をご覧ください。

データへのアクセスはダッシュボードに限られません。また、プロフェッショナルサービスへのリクエストが必要だったり、バッチ化されたレポートしか提供されなかったりなど、不完全な可視性しか得られないようでは意味がありません。トラフィックのリアルタイムログを含むあらゆるデータにアクセスでき、どこでも必要な場所にデータをストリーミングできることが重要です。自社のデータすべてにアクセスできる必要があります。 

10. サポートレベル

ベンダーによるサポートが充実していて顧客満足度が非常に高い必要があります。セキュリティ問題を素早く解決し、顧客の安全を維持できるソリューションを提供するベンダーをお選びください。脆弱性の発見後にカスタマーサポートが別のボトルネックとなって問題の解決に時間がかかったり、長期にわたって組織が危険にさらされたりすることがあってはなりません。

プラットフォームセキュリティのメリット

組織は、上に挙げた10件のセキュリティ上のメリットを理由にマイグレーションプロセスを開始すべき理論的根拠を正当化することがよくあります。そして、優れたエッジクラウドプラットフォームへの移行によってもたらされるクロスプラットフォームのメリットにより、セキュリティ体制をさらに強化できます。まず、キャッシュヒット率とオリジンのオフロードをセキュリティ指標のひとつとして考えることができます。これにより、オリジンの攻撃対象領域を縮小できるためです。各リクエストを隔離してサンドボックスで処理する Fastly のように非常にセキュアなエッジ・コンピューティング・プラットフォームの場合、エッジでワークロードを実行することでセキュリティ体制を強化できます。また、CI/CD と緊密に統合させることで、より完全性の高い保護を確保し、DevSecOps を実践しやすくなります。詳しくは「マルチレイヤーセキュリティのための AppSec ガイド」をご覧ください。 

セキュリティ強化につながるオリジンのオフロードとデータ送信の削減

セキュリティ上のメリットがこのようなマイグレーションを加速させているかもしれませんが、より高度なセキュリティソリューションを提供する優れたエッジクラウドプラットフォームを選ぶためにデューデリジェンスを行うことで、他にも大きなメリットが得られるはずです。  

組織がオリジンのオフロードに配慮すべき4つの大きな理由があります。他の理由にもご興味のある方は、ぜひご連絡ください。詳細をご説明します。

1. オリジンに達するトラフィックの量を削減

サイトやアプリケーションに送信される悪意のある、または不正なリクエストに対する明確な可視性が得られない場合、正当なリクエストではなく、ボットやその他の攻撃によって生成されたトラフィックの割合に気づかない可能性があります。可視性とブロックを強化することで (誤検知を増やさずに)、オリジンへのトラフィックの負荷を大きく軽減できます。 

2. データ送信コストを大幅にカット

より精度の高いブロックに起因するトラフィックの大幅な減少は、データ送信コストの削減にもつながります。不正なトラフィックにコンテンツを配信する必要が無くなるためです。このようにマイグレーションの動機はセキュリティの強化でも、これを機に、より優れたコンテンツ配信パフォーマンスとオリジンのオフロードが可能なエッジプラットフォームを選ぶことができます。その結果、複数の方法を通じてデータ送信コストの大幅な削減が可能になります。高度なキャッシュ機能の影響について詳しくは以下をご覧ください。次のセクションではこの点について詳しくご紹介します。

3. インフラコストと設備投資費 (CapEx) を節約 

より優れたコンテンツ配信プラットフォームによって不正なトラフィックが減り、キャッシュが効率化されてオリジンのオフロードが促進されると、より低めの新しいトラフィックのベースラインに合わせてインフラストラクチャをダウンサイズできる可能性があります。しかも正当なトラフィックによる大規模なスパイクが発生してもエッジで処理されてオリジンへの影響が抑えられ、攻撃による不正なトラフィックによるスパイクはオリジンに到達する前にエッジでプロックされるという安心感が得られます。これにより、予期せぬ超過料金の発生を防ぎ、コストを予想しやすくなります。 

4. インフラストラクチャを縮小してメンテナンスを軽減

より優れたブロックとオリジンのオフロードを通じてインフラへの投資を軽減できる場合、設備投資費だけではなく、運用コストもカットできます。フットプリントが小さいと、メンテナンスやアップグレード、維持、セキュリティ対策に要する時間が少なくてすむので、チームは組織が抱える他の問題の解決に取り組みやすくなります。 

優れたプラットフォームと効率的なキャッシュ機能の組み合わせで大幅なコストカットを実現

CDN はどれもあまり変わらないという考えに陥りがちです。特に優先事項や判断基準がセキュリティに集中している場合にこのようなケースが多く見られます。ファイナンスサービス組織は CDN やエッジクラウド戦略を選ぶ際、スピードとオフロードについては「ある程度良ければ十分」というスタンスを取ることが多く、この20年間、まさにこのレベルに甘んじてきました。オフロードの指標は、適切に確認しないと大きな差でも小さく見えるため、分かりづらいことがあります。例えば、以下のグラフは「Great (非常に優れた) CDN」では95%以上のオフロードが可能である一方、「Good (優良な) CDN」では90%近くまでオフロードできることを示しています。「たった5%の違いは大したことがなく、自分にとって優先課題ではない」と考えるかもしれません。しかし、オリジントラフィックに関する2つ目のグラフを見ると、オリジントラフィックに50%の差が生じていることが分かります。 

仮にトラフィックが扱うデータ量の総計を 100 GB とし、非常に優れた CDN によって95%オフロードできる場合、オリジンに送信されるトラフィックが扱うデータ量は 5 GB になります。　 それに対して優良な CDN では90%しかオフロードされないため 10 GB (非常に優れた CDN に比べて2倍) ものトラフィックがオリジンに送信されます。

つまり、CDN のオフロードパフォーマンスが5%向上すると、オリジンへの負荷を50%軽減できる可能性があることを意味します。

キャッシュ不可能とされてきたデータもキャッシュ

トップクラスのエッジクラウドプラットフォームや CDN が、従来型 CDN (かなり優良なものも含む) をはるかにしのぐパフォーマンスを発揮できるのには多くの理由があります。(これらの理由をすべて知りたい方は、ご連絡ください！) パフォーマンス指標とオリジンのオフロードを改善する最も簡単な方法のひとつとして、動的コンテンツをキャッシュすることが挙げられます。API トラフィックは、ファイナンスサービスのような業界で一般的にキャッシュ可能とは見なされないコンテンツの好例です。このようなコンテンツは非常に動的で頻繁に更新されるため、CDN から配信されるメリットが無いと誤解されがちです。その結果、ファイナンスサービス業界に限らず、SaaS やヘルスケア業界、キャッシュからより多くのコンテンツを配信することで得られるメリットを過小評価している組織は大きなチャンスを逃していることになります。

Fastly の Instant Purge™ のグローバルパージ時間は150ミリ秒です (2022年12月31日現在)。これは、150ミリ秒よりも長い間隔でオリジンから更新されるデータはすべてキャッシュから配信できることを意味します。さらに、驚くほど少ない RPS (1秒あたりのリクエスト数) で、オリジンから大量にトラフィックをオフロードすることが可能です。 

以下のチャートは、インフラストラクチャにおける特定の API またはデータをリクエストするその他のエンドポイントのオフロードの割合を示しています。この割合は、新しいデータで更新される頻度をそのエンドポイントに対する RPS の数で割ったものです。ご覧のように200ミリ秒ごとに更新されるデータでさえ、RPS がわずか10件でも50%のオフロードを達成できます。そしてこのチャートの大部分を占めるグリーンの箇所は、オフロードが90%を超えることを意味しています。こうしたメリットを考えると、すべての API リクエストはキャッシュから配信された方が望ましいということになります。Fastly のお客様が189%の投資利益率を達成しているといった統計データを私たちが公表する際、この種のデータ送信コストの節約が、このような高い投資利益率を実現する上で大きな役割を果たしているのです。

以下のチャートは、オフロードによってコストをどのくらい節約できるかを大雑把に示しています。90%のオフロード率と 1 GB ごとに0.05 USD のデータ転送コストで計算すると、平均 1 MB のリクエストを 5 RPS 受信するだけで、年間で12万 USD も節約できます。各 API を含む、リクエストに応答するインフラストラクチャの部分全体でこのようなコスト削減を実現できると考えると、10-15%のオリジンのオフロード拡大は大したことがないように見えても、大きなコスト削減とインフラストラクチャの簡素化をもたらし得ることが容易に理解できます。

最先端のプラットフォームで生産性も飛躍的にアップ

最先端のプラットフォームにより、コストカットだけではなく、生産性にも多くのメリットがもたらされます。何もかもプロフェッショナルサービスのチームに頼る必要がなくなり、同チームのサポートを待たずに済むことで、明らかなコストの削減と解決時間の短縮が可能になります。さらに、インサイトとオブザーバビリティの強化、脅威に対する緩和所要時間の短縮、チューニングやメンテナンス作業の大幅な軽減を組み合わせることで、その他の問題も解決できます。セキュリティチームや SecOps、DevSecOps の専門家を増員するのは容易ではありません。これらの分野の専門家の需要が高く、他のポジションのスタッフに比べて給与も高額なことが背景にあります。解決する必要がある問題自体を減らし、残りの問題も素早く解決できるプラットフォームにより、生産性を飛躍的に向上できます。その結果、チームを増員しなければならないというプレッシャーから解放され、チームの疲労を軽減し、スタッフの定着率を改善できます。 

Fastly では、ワールドクラスのカスタマーサポートを提供し、お客様の問題を素早く解決できますが、事業予算内でセキュリティ対策をスケールアップさせるコスト効率の高いソリューションのひとつとして、Managed Security Service もご利用いただけます。 

Fastly やファイナンス業界向けの Fastly のソリューションに関する詳細については、専用のソリューションページをご覧ください。