管理が簡単な次世代 WAF でセキュリティ強化に成功した Maritz

課題

Maritz の複数の事業部門はクレジットカード情報を取り扱っているため、PCI DSS へのコンプライアンスについて毎年報告する必要があります。PCI DSS の要件6.6を満たして Maritz のセキュリティ体制を強化するため、Maritz がホストする PCI 環境に対する追加のセキュリティレイヤーとして、Web アプリケーションファイアウォールを実装しました。

Maritz は、フォーチュン500企業などを対象に、市場・顧客調査、顧客ロイヤルティ/販売インセンティブ/従業員報酬・表彰プログラム、ミーティングやイベント、インセンティブ旅行の企画サービスなどを手掛ける持株会社です。同社にはさまざまなテクノロジースタックを擁する多様な事業部門とアプリケーションが存在しています。そのため、物理/仮想、オンプレミス/クラウドを含む、現在および将来のホスティング環境にデプロイ可能な単一のソリューションを見つける必要がありました。運用するのに膨大な手作業を必要とするオープンソースを使用した経験から、Maritz は自動ブロック機能を備え、簡単にデプロイできる使いやすいセキュリティソリューションを求めていました。

ソリューション

最初に企業アプリケーションのフットプリント全体の5%に Signal Sciences をデプロイしたところ、非常にうまくいったため、複数の事業部門にわたるアプリケーション全体の90%をカバーするようにデプロイを拡大しています。

シンプルなデプロイにより、チームやテクノロジースタック全体で導入を加速

プロジェクトチームの目標は、正当なトラフィックやパフォーマンスに影響を与えず、他のセキュリティツールのようにネットワークエッジと Web サーバー間のトラフィックを変更する複雑なファイアウォールルールを変更する必要のない方法で追加のセキュリティレイヤーを実装することでした。シンプルなエージェントとモジュールソフトウェアを Web サーバーに直接デプロイする Signal Sciences では、トラフィックフローを変更する必要がなく、モニタリングの結果、ロード時間とパフォーマンスのスパイクが発生していないことも確認されました。

Maritz は SIEM の API で Signal Sciences のエージェントステータスに関するデータを取得し、エージェントが最新の状態にあり、適切に機能していることを確認しています。特定の理由で悪意のあるものとして識別され、フラグされた IP アドレスを Signal Sciences のダッシュボードで簡単に表示できるので、チームは自信を持って脅威に対応できると同時に、脅威に関する詳細な情報を得ることで、セキュリティに関する議論を深めることが可能になります。

Signal Sciences の Web サーバーのデプロイは、さまざまな事業部門で使用される多様なインフラストラクチャをサポートします。Technical Project Manager の Lynette Ormsby 氏は、「ツールのデプロイに数週間から数か月もかけて労力を費やす必要がないことがわかり、予定よりも早く広範に展開を進めていく自信が得られました。その結果スケジュールを早めたところ、当社の環境にセキュリティレイヤーを追加することで得られるメリットのおかげで、組織全体から理解を得ることができました」と述べています。今後、Signal Sciences は
オプトインモデルを通じて Maritz の組織全体に提供され、当初の想定よりも幅広いカバレッジ (社内アプリケーションの最大90%) を実現できるようになります。

全面的な節約 : 専任のフルタイム従業員 (FTE) が不要

Maritz が Signal Sciences を採用する大きな決め手となったポイントのひとつに、このツールを管理するチームを新たに立ち上げる必要がなかったことがありました。運用に関しては、Signal Sciences は Maritz の既存のセキュリティ・オペレーション・センター
(SOC) と新しい標準運用手順の導入で対応できます。予測不能な Web トラフィックの性質は多岐にわたるため、節減できた全体的な時間とコストを見積もることは困難ですが、「Signal Sciences を導入したことで、以前だったら調査して手動で対策を講じるのに週末を丸々費やしていたような攻撃パターンを自動的にブロックできるようになった」と、Maritz は断言しています。今では SOC は、悪意のあるアクティビティを確認して迅速に調査し、リスクレベルを判定してどのチームに対応させるべきかを判断することができます。

可視性と仮想パッチ機能がもたらす開発・運用上のメリット

Signal Sciences を通じてアプリケーションレイヤーで可視性が得られたことにより、
Maritz のインフラストラクチャ・サービス・グループは、アプリケーションのセキュリティに関してエンジニアと
より有意義な会話ができるようになりました。「開発者が
OWASP Top 10 攻撃に関する仮説を読み解くことと、
本番環境でのコマンドインジェクション攻撃をリアルタイムで確認し、
『あれは私のサイトだ。この攻撃はブロックできる』と言うことは別次元の話です」と Technical Architect の Andy Wolfe 氏は言います。トラフィックを自動的に分類する Signal Sciences の機能により、アプリケーションエンジニアは「異常」を察知しやすくなり、その多くは最小限の労力 (ロボットファイルやお気に入りのアイコンなど) で解決できます。

また Signal Sciences の仮想パッチ機能は、
共通脆弱性識別子 (CVE) に関するインサイトも提供します。さらに Signal Sciences の
Power Rule を使用することで、事前設定されたシグネチャに基づいて特定の脅威をブロックすることが可能になるため、
悪意のあるアクティビティをブロックしながら、根底にある脆弱性を修正する
時間の余裕ができます。Signal Sciences が CVE ライブラリを構築し続けるのに伴い、
その有用性はさらに増し、貴重な時間を節約できるようになります。