不正トラフィックの洪水を食い止める

課題

BloomNation は 2019年後半に、Built In LA の「50 Best Small Places to Work」に選出され、全国的な認知度が急速に高まりました。しかし多くの人々に知られる一方で、悪意のある攻撃者による自社のWebサイトへの大規模な攻撃の対象にもなったのです。同社は、自社の Web アプリケーションのスキャンを試みる悪意のある攻撃者による、DDOS や SQLi、XSS、クレデンシャルスタッフィングなどをはじめとする数々の不正な攻撃トラフィックを経験しました。

こうした攻撃は企業に大きな悪影響をもたらしました。エンジニアは、プロダクト機能の構築やデプロイの代わりに、Webサイトを維持するために手作業での IP アドレスの調査やブロックに時間を費やさざるを得なくなりました。トラフィックの増大はカスタマーエクスペリエンスにも影響を及ぼしました。ページの読み込み時間が遅くなり、攻撃リクエストによるサーバーインスタンスへのアクセスも増大したことでWebサイトが機能不全に陥りました。

そのため BloomNation は、こうした攻撃を撃退するだけでなく、エンジニアリングチームがトラフィックをレート制限し、カスタム基準に基づいて迅速にトラフィックシグナルをタグ付けして識別できるツールが必要になりました。

「こうした攻撃によりオフィスは戦場と化しました。チームに必要な人員やリソースの追加費用も莫大なものになりました。Fastly のサポートなしには、当社のWebサイトを維持させることはできなかったでしょう」 Ashlin Jones 氏、Lead DevOps Engineer

ソリューション

Fastly のレート制限機能により、BloomNation は悪意のあるトラフィックを簡単に識別し、サーバーへの悪影響を未然に防ぎつつリソースの消費を軽減し、カスタマーエクスペリエンスの向上を実現しました。

チームの負荷を即時に低減

BloomNation は攻撃のピーク時に、Web 攻撃のトリアージにエンジニア3名を週の数日ほど担当させていました。しかし、攻撃トラフィックのソースを手作業で特定するために、このレベルの注意を維持することには否定的でした。Fastly のタグ付けとフィルター機能を活用することで、BloomNation はカスタムシグナルを通じてトラフィックを分類し、不正な Web リクエストの特定に関わる手作業から解放されました。

カスタマーエクスペリエンスの向上

BloomNation は同社のアプリケーションを攻撃する IP による後続の攻撃をブロックすることはできましたが、それらの IP からの初回のリクエストは同社のサーバーに到達していました。これによりロードバランサーに相当な負担がかかり、CPU 使用率は最大90％に達したのです。Fastly のレート制限によって、こうしたリクエストを阻止し、ページの読み込み時間を短縮しながら、正当なユーザーがサイト利用を妨げられる状況を回避することに成功しました。Fastly の導入以降、Jones 氏とチームはロードバランサーへのアクセスが不要になりました。

安全性を高める道筋

BloomNation チームは、過去に悪意のあるトラフィックスパイクを経験したことがありましたが、リソースを迅速に拡張するための準備は不十分でした。Fastly の提供するツールと機能により、Jones 氏はアーキテクチャを深く掘り下げ、企業の成長に適したベストプラクティスの計画が可能になりました。Fastly の Next-Gen WAF は、アプリケーションセキュリティに対する未来を見据えたアプローチを BloomNation にもたらしています。