Betterment logo

自動スケール可能なセキュリティツールをプロダクションアプリケーションに採用している Betterment CI/CD パイプライン

課題

Betterment はお客様個人情報 (PII) 金融資産を保護するために、継続的なシグネチャのチューニングが不要パフォーマンスに影響を与えずに自動的にスケーリングし、攻撃をブロックできるソリューション必要としていました。

Betterment 運用資産が140ドルを超えるオンラインファイナンシャルアドバイザリー企業であり、同社のオンラインプラットフォームにアクセスする38万人超の顧客基盤をサポートするために、継続的インテグレーション/継続的デプロイメント (CI/CD) パイプラインを通じて毎日多数の Web サーバーを稼働させています。 ユーザーアカウントの安全性を維持する上で、ユーザーアカウントが攻撃を受ける可能性や、攻撃のタイミングと方法を把握することが重要です。Signal Sciences 実装する以前、Betterment エンジニアリングチームとセキュリティチームにとっての最大の懸念は、(従来の WAF での過去の経験から) 誤検知の多さでした。チームは、サポートへの問い合わ件数やエンジニアリング/セキュリティチームの作業負担を増やすことなく、自動的にスケーリングして正確に攻撃をブロックできる WAF 必要としていました。

「誤検知の少なさが Signal Sciences 選択する決め手になりました。この WAF のおかげで、セキュリティチームは、当社のアプリケーションに対する悪意のあるアクティビティを把握追跡し、お客様の安全を守ることができます。Fastly ソリューションをデプロイして設定を済ませて以来、誤検知は一度も発生していません。セキュリティチームの作業負荷は軽減され、ユーザーエクスペリエンスも快適です。また、脅威の状況が刻々と進化する中で、新し攻撃ベクトルやペイロードに対処するルールの設定や変更も可能なので、ビジネスリスクを軽減できます」 Anson Gomes 、Lead Security Engineer

ソリューション

Signal Sciences 導入して以来、デプロイと更新を自動化し、パフォーマンスを損なうことなくデータに基づいたインサイトをすばや得られるようになり、Betterment セキュリティチームの作業負荷が軽減されました。

自動的なスケールアップが可能な Web 防御

Signal Sciences プロビジョニングする際に、新しアプリケーションインスタンスで Signal Sciences モジュールとエージェントが CI/CD パイプラインの一部として自動的にインストールされるようにするために、Betterment 運用チームはシンプルな Ansible の Playbook 作成しました。「インストールや更新のための手動操作は一切不要でした」と、Betterment で Lead Security Engineer 務める Anson Gomes 氏は述べています。セキュリティコンサルタントの Gomes 氏が以前、ネイティブにスケーリングできない従来型の WAF テストした際、すべてのアプリケーションサーバーに WAF インスタンスを新たにデプロイする必要があったため、コストと複雑さ増大し、管理する時間の余裕もありませんでした。

サイトのサービスレベル合意書 (SLA) 維持しながらカバレッジを向上

Betterment チームは、導入後すぐに利用でき、悪意のあるリクエストをブロックできる Signal Sciences 堅牢なセキュリティカバレッジに感銘しました。アプリケーションのパフォーマンスや可用性を損なわず、 Betterment 攻撃対象領域を拡大しないことも Signal Sciences メリットです。情報を可視化する使いやすいダッシュボードにより、検出された脆弱性を明確にして各担当チームに報告することで、迅速な修正が可能になります。

Signal Sciences により運用チームにとっても可視性が向上しました。ダッシュボードに表示された標準スキャンの結果から、アラートシステムの調整とアプリケーションの動作の修正に使用された不明なサービスや誤設定が明らかになりました。

カスタマイズ可能な権限ルールによりセキュリティとコンプライアンスを確保

Betterment 実装後すぐに悪意のあるトラフィックを自動ブロックする検出機能に加え、 Power Rule 利用して同社独自のアプリケーションロジックに対する攻撃を防ぎ、 金融データの安全性を維持しています。例えば同社では、 API 対する不正アクセスを定義および監視し、リクエストの送信元の情報に基づいてアクセスを制限することで 攻撃をブロックすることができます。また、ダッシュボードのドロップダウンメニューで 簡単に設定できる、アカウント乗っ取り (ATO) 防止のための Power Rule 活用し、 ユーザーアカウントの侵害防止に役立てています。

「導入後すぐに効果を発揮し、自動的にスケーリングするだけでなく、アプリケーションを保護しながら優れた可視性も提供してくれます」 Anson Gomes 氏、Lead Security Engineer