Maritz Logo

管理が簡単な次世代 WAF セキュリティ強化に成功した Maritz

課題

Maritz 複数の事業部門クレジットカード情報を取り扱っているため、PCI DSS へのコンプライアンスついて毎年報告する必要あります。PCI DSS 要件6.6満たして Maritz セキュリティ体制を強化するため、Maritz ホストする PCI 環境に対する追加のセキュリティレイヤーとして、Web アプリケーションファイアウォールを実装しました。

Maritz フォーチュン500企業などを対象に、市場顧客調査、顧客ロイヤルティ/販売インセンティブ/従業員報酬表彰プログラム、ミーティングやイベント、インセンティブ旅行の企画サービスなどを手掛ける持株会社す。同社にはさまざまなテクノロジースタックを擁する多様な事業部門とアプリケーションが存在しています。そのため、物理/仮想オンプレミス/クラウドを含む、現在および将来のホスティング環境にデプロイ可能な単一のソリューション見つける必要がありました。運用するのに膨大な手作業を必要とするオープンソースを使用した経験から、Maritz 自動ブロック機能を備え、簡単にデプロイできる使いやすいセキュリティソリューションを求めていました。

「Maritz の WAF プロジェクトでは本番環境のパフォーマンスを損ねることなく Web アプリケーションを保護できる、追加のセキュリティレイヤーを実装することを目標に掲げていました。Signal Sciences デプロイ方法が非常にシンプルなので、テストや本番環境でのデプロイ中に問題が発生することもなく、簡単に実装を成功させることができました」 Andy Wolfe 、Maritz、Technical Architect

ソリューション

最初に企業アプリケーションのフットプリント全体の5%に Signal Sciences デプロイしたところ、非常にうまくいったため、複数の事業部門にわたるアプリケーション全体の90%カバーするようにデプロイを拡大しています。

シンプルなデプロイにより、チームやテクノロジースタック全体で導入を加速

プロジェクトチームの目標は、正当なトラフィックやパフォーマンスに影響を与えず、他のセキュリティツールのようにネットワークエッジと Web サーバー間のトラフィックを変更する複雑なファイアウォールルールを変更する必要のない方法で追加のセキュリティレイヤーを実装することでした。シンプルなエージェントとモジュールソフトウェアを Web サーバーに直接デプロイする Signal Sciences では、トラフィックフローを変更する必要がなく、モニタリングの結果、ロード時間とパフォーマンスのスパイクが発生していないことも確認されました。

Maritz は SIEM の API で Signal Sciences エージェントステータスに関するデータを取得し、エージェントが最新の状態にあり、適切に機能していることを確認しています。特定の理由で悪意のあるものとして識別され、フラグされた IP アドレスを Signal Sciences ダッシュボードで簡単に表示できるので、チームは自信を持って脅威に対応できると同時に、脅威に関する詳細な情報を得ることで、セキュリティに関する議論を深めることが可能になります。

Signal Sciences の Web サーバーのデプロイは、さまざまな事業部門で使用される多様なインフラストラクチャをサポートします。Technical Project Manager の Lynette Ormsby 氏は、「ツールのデプロイに数週間から数か月もかけて労力を費や必要がないことがわかり、予定よりも早く広範に展開を進めていく自信が得られました。その結果スケジュールを早めたところ、当社の環境にセキュリティレイヤーを追加することで得られるメリットのおかげで、組織全体から理解を得ることができました」と述べています。今後、Signal Sciences は オプトインモデルを通じて Maritz 組織全体に提供され、当初の想定よりも幅広いカバレッジ (社内アプリケーションの最大90%) 実現できるようになります。

全面的な節約 : 専任のフルタイム従業員 (FTE) 不要

Maritz が Signal Sciences 採用する大きな決め手となったポイントのひとつに、このツールを管理するチームを新たに立ち上げる必要がなかったことがありました。運用に関しては、Signal Sciences は Maritz 既存のセキュリティオペレーションセンター (SOC) 新し標準運用手順の導入で対応できます。予測不能な Web トラフィックの性質は多岐にわたるため、節減できた全体的な時間とコストを見積もることは困難ですが、Signal Sciences 導入したことで、以前だったら調査して手動で対策を講じるのに週末を丸々費やしていたような攻撃パターンを自動的にブロックできるようになった」と、Maritz 断言しています。今では SOC 悪意のあるアクティビティを確認して迅速に調査し、リスクレベルを判定してどのチームに対応させるべきかを判断することができます。

可視性と仮想パッチ機能がもたらす開発運用上のメリット

Signal Sciences 通じてアプリケーションレイヤーで可視性が得られたことにより、 Maritz インフラストラクチャサービスグループは、アプリケーションのセキュリティに関してエンジニアと より有意義な会話ができるようになりました。「開発者が OWASP Top 10 攻撃に関する仮説を読み解くことと、 本番環境でのコマンドインジェクション攻撃をリアルタイムで確認し、 『あれは私のサイトだ。この攻撃はブロックできる』と言うことは別次元の話です」と Technical Architect の Andy Wolfe 氏は言います。トラフィックを自動的に分類する Signal Sciences 機能により、アプリケーションエンジニアは「異常」を察知しやすくなり、その多くは最小限の労力 (ロボットファイルや気に入りのアイコンな) 解決できます。

また Signal Sciences 仮想パッチ機能は、 共通脆弱性識別子 (CVE) 関するインサイトも提供します。さらに Signal Sciences の Power Rule 使用することで、事前設定されたシグネチャに基づいて特定の脅威をブロックすることが可能になるため、 悪意のあるアクティビティをブロックしながら、根底にある脆弱性を修正する 時間の余裕ができます。Signal Sciences が CVE ライブラリを構築し続けるのに伴い、 その有用性はさらに増し、貴重な時間を節約できるようになります。