幅広いセキュリティに圧倒的なスケールで対応する　パフォーマンスや顧客体験を損なうことなくアプリケーションを守る、Akamai社の顧客事例

Mani Sundaram氏の自己紹介

Mani Sundaram氏：みなさんこんにちは。私がこのようにみなさんと話せることを本当にうれしく思います。Akamaiのセキュリティの話をするんですが、その前に私自身の背景について話をさせてください。

AkamaiではProfessional Servicesというポジションから始まりました。Akamaiでのプロセスをみなさまのようなお客さまと協力して走らせることに関わっていました。

そこからAkamaiのCIOになりました。そこでCISO（Chief Information Security Officer）、つまりIT情報セキュリティを担当して、EVP（Executive Vice-President）、GM（General Manager）、Akamaiのセキュリティテクノロジーグループの責任者となりました。セキュリティ関連の製品を作る部門です。

Akamaiのセキュリティにおける歴史

まず、Akamaiのセキュリティにおける歴史のようなものを話させてください。2001年の夏、ホワイトハウスのリチャード・クラークさんという副セキュリティアドバイザーが、「『コードレッドウイルスがホワイトハウスのインフラを攻撃する』と耳にした。Akamaiはホワイトハウスを守れるか」という話をするために、私たちのオフィスに来ました。

ホワイトハウスを守るためにディフェンスを導入したいということでしたが、その話から「これってAkamaiが製品化できない？」と。「これって製品の話だよね？」「インターネットのエッジをセキュアにするというのは、ビジネスだよね？」と気づき、そこからWebアプリケーションとか、ファイアウォールの開発を始めました。これが私たちの最初のWebベースのセキュリティソリューションでした。

その後、Prolexicという会社を買収しました。その時点ですでに（Prolexicは）セキュリティのリーダーでした。この時もキャリアなどを利用して、お客さまは自分たちを守っていましたが、トラフィックのボリュームやそれに対するDDoSアタックというのが大きな問題になってきて、もっとセキュリティが必要になりました。

そして、2022年にGuardicoreを買収しました。Guardicoreもマイクロセグメンテーション領域のリーダーでした。その時私たちが探していたのは、自分たちを守る、つまりAkamaiが自分たちを守るソリューションを探していたんですね。

既存の内部通信制御技術はスケーラブルじゃないことをみなさんもよく知っていますよね？　なのでGuardicoreを自分たちのために買って、ソフトウェアを使ったマイクロセグメンテーションで守ろうということになりました。最初はGuardicoreの製品を見ていたんですが、「もう会社を買っちゃおう！」ということになって、私たちのエンドカスタマーのみなさんもGuardicoreの製品を使えるようになりました。

そして、2023年にNeosecという企業を買収しました。NeosecはAPIのセキュリティ領域のマーケットリーダーです。

Akamaiは自身のミッションをどのように実現しているのか

私たちAkamaiのミッションは簡単です。みなさんが作るアプリケーションを守ること。それを、パフォーマンスや顧客体験を損なうことなく実践すること。それが私たちのミッションです。

じゃあどうやって私たちがそれをやっているか。私たちが最初に何をやるのかというと、トラフィックに対して可視性を持たせます。Akamaiは、日々1兆を超える配信を行っています。これをクラウドのエッジでやっている、つまりインターネットの薄暗い隅々まで何が起こっているか、よく目を光らせています。

マイクロセグメンテーションのソリューションを使えば、アプリケーションの脆弱性が窃取されないように防御できます。これは、アプリケーションの基盤となるインフラを守るソリューションです。そうすることによって、アプリを守る、つまりDDoSや、Webアプリケーションのファイアウォールソリューションなどよりも、基盤であるインフラを守る領域です。

Liberty Mutual社の事例

さて、いくつかのユースケースを紹介させてください。最初にLiberty Mutual社。世界最大の保険会社の1つです。確か、米国で6番目に大きな保険会社です。このLiberty Mutualですが、私たちが持っているソリューションのポートフォリオを全部使っているお客さまの1つの例です。

Liberty Mutualが直面したのは、ボットの問題なんですね。みなさまもよく知っているとおり、ボットが自分たちのサイトにやってくるのは大きな問題になります。いわゆるうるさい、または攻撃的なボットから自分たちを守るためにはどうするか。そのために私たちが目を付けたのは、「Account Protector」というソリューションでした。

これはボットだけではなく、悪意を持った人からもみなさんのサイトを守ることができます。例えばなりすましです。「アカウントIDを盗んで、みなさんの正式なお客さんになりすます」というのが人がもたらす脅威です。

私たちのお客さまのところに来る、最近の典型的な訪問者の挙動をよく勉強した結果、Account Protectorができたというわけです。Liberty Mutualはそこに目を付けて「これは自分たちのためになる」と思ってくれました。

1つの活用例として、ゼロデイイベントが挙げられます。MOVEitとかLog4jが良い例だと思いますが、これをAkamaiはAdaptive Security Engineということで、適応型のセキュリティエンジンで保護します。私たちの多くのお客さまが使っています。もちろんLiberty Mutualさまも使っています。ゼロデイで何が起こるかというと、「ゼロデイ」と聞いたら、私たちは数時間、数分のうちにエンジンにパッチを当てるんです。

つまり、私たちのWeb APIセキュリティ、私たちのAdaptive Security Engineを使っていれば、自分たちでパッチを当てなければいけないと心配する必要はありません。みなさんのために私たちがやります。

南米のテレコムのお客さまの事例

もう1つお客さまの話をさせてください。このお客さまは、実は非常に大きな南米のテレコムのお客さまで、自分たちの企業を守りたいという話でした。このお客さまは、マイクロペリメーター、マイクロ境界を保護したいという意図を持って私たちのところに来ました。私たちはマイクロセグメンテーションの製品「Akamai Guardicore Segmentation」を使って、こちらの会社の要件に応えました。

1つの操作画面で自分たちの持っているすべてのアプリケーションに可視性を持たせて、その全部に対して一元的にポリシーを適用し、ユーザーベース全体を保護するというスキームでした。この企業も社内にさまざまなアプリケーションを持っていて、アプリケーション同士での通信が多く発生していました。

彼らがそれをどのように管理したかというと、Akamai Guardicore Segmentationを使い、信頼性の高い通信が許可されるかたちに限定したのです。それが先ほどから言っているマイクロ境界（マイクロペリメーター）の実現です。

APIセキュリティの技術革新

悪い攻撃者はのんびり止まっていません。彼らは常にイノベーションをしているので、私たちが彼らより先にイノベーションしなくちゃいけません。

ここから、いくつか私たちの最新の製品イノベーションについてお話しさせてください。いくつか画面スクリーンショットも見せたいと思います。一目瞭然。「絵で見たほうがわかりやすい」という言葉もありますね。

（スライドを示して）こちらのAPI Securityは私たちの最新（登壇時点）の製品です。API Securityを使っていただければ、みなさんの組織の中に存在するすべてのAPIを可視化することができます。そしてそのAPIのふるまいはどうなのか。きちんとエンコーディングされているのか、きちんと守られているのかどうかまで見ることができます。

もしAPIが攻撃を受けたら、私たちのほうから即アラートを出します。WAF （Webアプリケーションファイアウォール)）を使っているなら、1つボタンをクリックするだけで、長くても数時間でみなさんの持っているプラットフォーム上にあるすべてのAPIに、新しい保護が適用されることになります。これが最先端のセキュリティプラットフォームです。

こちらが事例です。実際にスクリーンショットしたものですが、ホテルのお客さまが、何千もの顧客IDを不正に使用されたため、我々にコンタクトがありました。調べたところ、攻撃を受けて、ホテルの予約システムを悪用されてしまったということですね。

ということでAPIを検査しました。このスクリーンショットは、どういったAPI情報がやり取りされたかの事例ですね。（スライドを示して）API Securityの中でこのような状況になっていました。

まず右側の上のところが、アラートの1つです。「このAPIがいろいろなロケーションからアクセスされていますよ」というアラートを出しました。

つまり、1つの管理システムでやらなければいけないはずなのが、複数のロケーションであると表れていました。「さまざまなロケーションということが、アノマリーの1つですよ」ということで、アラートを発信しました。

左の下のところも似ているんですが、ユーザーが2つの別のユーザーネームでアクセスしようとしていました。通常、同じ人がわざわざ2つのユーザーネームを使う必要がないわけなのでおかしいですね。こういうかたちで、APIによる検知、アラートをしました。

そしてもう1つのプロダクトということで最近始まったのが「Client-Side Protection & Compliance」、CPCです。最新のPCI DSS v4.0の要件ですが、すべての決済ページスクリプトtを管理していかないといけない。（クレジットカード決済を扱う上で、）そういったセキュリティ機能が必要になっています。

第三者によるものについても、そこでスクリプトのインベントリを管理しなければいけません。ということで、どのスクリプトを使っているのか。大企業であれば数百万ものデータを確認しなければいけないということで、その決済ページなどのスクリプトの正当性をしっかり管理できる・記録できるということです。

我々の製品では包括的なかたちでのPCI DSS v4.0のダッシュボードがあるので、見えやすいわけですね。Microsoft Azure Marketplaceにも対応しているし、アラートを発信することもできます。

（スライドを示して）こちらがスクリーンショットですが、みなさまがユーザーサイトから抽出することができます。さまざまなスクリプトを抽出できます。

どういったスクリプトなのか。これを監査の方にすぐに提出できるということです。PCI DSSのコンプライアンスをしっかりとサポートしています。なので、このことをぜひ担当のチームにも共有してもらえればと思います。

オンプレミス型のDDoS対策の新サービス

では、DDoSに話を移したいと思います。長い間DDoS攻撃がされてきましたが、少し状況が変わってきたという話も聞いています。今現在の状況ですが、2023年初頭、Killnetグループのアクティビストが北米の病院にアタックしました。そして多くの病院システムがダウンしました。

2週間前（登壇時点）のことですが、北米の銀行が狙われました。DDoS攻撃を受けました。というわけで、引き続きDDoS攻撃はアクティブであるということです。アタッカーが攻撃の手を緩めていない状況ですね。

我々のスクラビングセンターは日本にもあり、多くの金融機関さまをサポートしています。東京と大阪に長い間拠点を持っています。

このProlexicのプラットフォームを使って、日本の金融機関さま、海外でも拠点がある、トランザクションがあるということであればしっかりと、この新しいProlexicのスクラビングセンターを活用いただければと思います。日本だけではないということです。

また、新しい開発も進行中です。Prolexicを買収したのが2014年ですが、そこからクラウドベースのDDoS防御を拡張してきました。今、こちらをさらに拡張しています。Coreroという会社とのパートナーシップによって、オンプレミス型のDDoS対策の新サービスを始めました。

クラウドベースのサービスが合わないケースもあるので、クラウドベースのみならず、その追加としてオンプレミス型も提供できるようにしました。これは先週（登壇時点）発表されたばかりの新しいサービスです。

マイクロセグメンテーションによるセキュリティ改善

マイクロセグメンテーションについて話したいと思います。我々の「ゼロトラストをシンプルに」という戦略で、最高の統合コア機能を提供していきます。ネットワークトラフィックに関しては可視性、そしてゼロトラストネットワークへアクセス（ZTNA）も、セグメンテーションのプラットフォームへ統合されていきます。それによって、東・西へのカバレッジがしっかりでき、水平型であるということです。

我々だけではなく、みなさまも他の多くのセキュリティソリューションにも投資していると思います。私たちとしては、エコシステムへの投資という考え方を持っています。さまざまな企業さまとパートナーシップを結んで、他の企業さまと最高の製品を組み込めるような、シンプルなフレームワークにしていきます。セキュリティのエコシステムをしっかりと構築できるように、お客さまのセキュリティシステム、エコシステムにも合うようにしていきます。

私たちのポジションは非常にユニークです。我々としては数千ものロケーションを持っているので、そのプラットフォームすべてをしっかりと活用できる、モニターできるということで、我々の独自の役割を発揮していきたいと考えています。

（スライドを示して）左側を見てください。このネットワークはどのようなかたちでセグメントをしてきたのか。以前は物理的なファイアウォールでしっかりと対応してきたと思います。しかしながら今はクラウド化されて、これを仮想のファイアウォールに変えていった。

だけれども、これはまだ古いやり方でした。新しいマイクロセグメンテーションのアプローチだと、みなさまがソフトウェア定義型で一元的なポリシーを構築できます。非常にきめ細かな属性に基づく、ソフトウェアベースでの通信ポリシー適用です。

つまり、このアプリケーションはこのアプリケーションとしか通信しない、コミュニケーションをしないというような、非常に細かい属性に基づく管理ができます。なので、新しいアプリケーションができた時に新しいファイアウォールを作るのではなく、マイクロセグメンテーションになると、ソフトウェアベースでのポリシーを作ることができるわけです。

新しいアプリケーション、新しいサーバー、新しいプラットフォームがどんどん出てきますが、この1つのシングルルールで対応できるようになります。

こちらは、お客さまのゼロトラスト・セグメンテーションのやり方です。適用前は350万ものオープンな通信がありました。350万という非常にオープンなかたちの通信が活発化していたわけです。

でも「本当に300万以上の通信が必要ですか？」と。それぞれがアプリケーション攻撃の対象領域になってしまうわけです。なので、このゼロトラストでのセグメンテーションをマイクロセグメンテーションにして、その結果が右側になりました。

サブネットが他のアプリケーションに必ずしも通信する必要がないということを特定していったのです。そしてルールを整理して、350万のオープンな通信から、120の限定された通信へと減らすことができました。これが最低限必要な通信であることを特定したのです。それにより、99パーセント以上の攻撃対象領域が減少したということになります。

ということで、セキュリティは改善しました。そしてコンプライアンスも準拠できました。この対応により大幅に改善できたということになります。