概要
Sun Life Financial は、1865 年設立の生命保険業で有名なカナダの金融サービス会社です。世界で最大規模の保険会社であることに加え、Sun Life の投資管理サービスは 1 兆カナダドル以上の資産を運用しています。Sun Life は顧客様の資産を守り、健康に一生暮らせるようサポートすることに専念しています。
課題
今日、金融サービス会社は様々な課題に直面しています。増加しつつある FinTech 企業との競争の他に、法令準拠や変化する消費者行動への対応では、金融サービス会社は顧客の個人情報を保護する責務も負っています。
ゼロデイ保護
2019 年春に WebLogic サーバーに対してリーモートコマンドの実行につながる重大脆弱性が発見されました。その時、Sun Life Financial はそのリスクを軽減して迅速に展開できる解決策を模索しました。同社には二つの選択肢がありました。それは数十万ドルをかけて何百ものアプリケーションサーバーを新たに使用するか、それともランタイムプロテクション(RASP)を強化して脆弱性を封印し、将来のゼロデイ脅威を防ぐかのどちらかでした。
展開規模
Sun LifeFinancial は事業運営上、一つの共通アプリケーションサーバーである WebLogic で実行される数百のアプリケーションやサービスを保有しています。約 600 の WebLogic サーバーが本番稼働をしているため、一台の WebLogic が複数のアプリケーションのホストとして使用されている可能性があり、システム全体の更新またはパッチングは膨大な計画や共同作業が必要となります。
複数のアプリケーションチームにまたがる共同作業
Sun Life のアプリの所有権は、米国やカナダに分散された数百のアプリケーション開発チームにまたがっています。脆弱性パッチングは同社内のシステム管理者チームが通常行っており、アプリケーションに影響があるパッチングはそのアプリケーションの各開発チームが直接テストして認可する必要があります。このテストの計画、共同作業および実行はボトルネックとなっていて、収益拡大や生産性向上に時間を取られます。
導入
Sun Life は DevOps に特化したインフラを持っており、必要であればいつでもどこでも開発を自動化できます。初期設定後、同社のシステム管理者チームは RASP のプラグイン開発を自動化しました、これは言い換えれば「エージェント」即ち開発目線からはウェブまたはアプリケーションサーバー上で展開するために使用されるファイルの集合です。エージェントはエアギャップされ、パフォーマンスが最適化されているため、アプリケーションへの影響は最小限に抑えられています。
導入後、RASP は開発環境、UAT 環境、QA 環境、ステージング環境、本番環境と、さまざまな環境でテストを行いました。新しいランタイムセキュリティーでの解決は、アプリケーションに自動負荷テストが行われましたが、予測通り、パフォーマンスが低下することはありませんでした。 Sun Life の DevOps チームはアプリケーションの遅延がないこと、本番稼働に問題はなく、展開もスムースに行われたことを実証しました。
結果
そのプロジェクトは経営陣からも注目されており、Sun Life Financial はアプリケーション開発チームと Imperva の技術のアカウントマネジャーとの共同作業もでき、解決に向けた展開を早期にできました。チームは RASP インターフェースを使用して、アプリケーションの保護を早く展開でき、既知、未知を問わず将来のリスクを回避することができました。その結果、Sun Lifeの全 WebLogic サーバーは完全に安全が保たれ、アプリケーションサーバーの脆弱性から生じるゼロデイ脅威のリスクなく、同社の金融顧客にサービスの提供を継続することができたのです。
初期の調査段階から共同作業や実行まで、展開するためにはシステム全体のパッッチングに膨大な工数がかかります。Imperva RASP はシグネチャに頼らない特許取得済のアプローチを使用し、シグネチャの更新や機械学習をせずに、アプリケーションを脅威から守ります。従って、アプリケーション所有者や CISO は自分のアプリケーションがゼロデイ脅威から守られていることがわかり、安心です。現在 Sun Life ファイナンシャルはアプリケーションサーバーの脆弱性に影響を受ないため、余分なパッチングやライセンス取得の費用が少なくなっています。
結論
Sun Life の挑戦はユニークなものではなく、IT、セキュリティー、DevOps のチームは、重大な脆弱性が発見されるたびに緊急なパッチ開発を迫られことが頻繫に生じます。開発スピードが速くなり、展開頻度が多く、攻撃の複雑化が強まるにつれて、自動化されたセキュリティソリューションが不可欠となります。Sun Life のアプリケーションは、Imperva Runtime Protection のおかげでセキュア・バイ・デフォルトが保たれるため、開発者たちは問題解決や業務最適化を実現するアプリケーションの開発に専念できるようになりました。
Imperva RASP に関する詳細は、こちらをご覧ください。 Imperva RASP.