Paidy -クラウドにおける日本の金融機関
Paidyは、日本のマスマーケットや企業にカードレス決済などの金融サービスを届けるフィンテックのリーダーです。 そのソリューションは、革新的なオンラインとモバイル決済、P2P送金、個人ファイナンス、マーチャント決済の最前線にあります。 Paidyを使用すると、ユーザーはメールアドレスと携帯電話番号だけを使用してチェックアウトできます。 クレジットカードや事前登録は不要です。 詐欺を防ぐために、SMS経由でPINを使用してすべてのトランザクションが認証されます。 ユーザーは今すぐ購入し、翌月に一括して支払うことができます。
Paidyのプラットフォーム全体はクラウドで実行されます。主に複数のAWSアカウントですが、AzureとGCPもあります。 複数のテストと開発環境があります。 プラットフォームが金融取引を処理する場合、セキュリティは一番の懸念事項です。 CISOのFelix Beatty氏は、Paidyの全体的なセキュリティポスチャーの最適化を担当しています。
「当社は基本的にクラウド内の金融機関です」とBeatty氏は述べています。 「当社は急速に成長し、1年以内に300万人以上の顧客を獲得しました。さらに改善の余地があるビジネスの領域を残しており、クラウドセキュリティもその一部です。ほとんどのサービスは今日クラウドで実行されているため、迅速に解決できるようには、重要な問題をすぐに表面化できるクラウドセキュリティソリューションを必要としています。」
Paidyの大規模なクラウド環境では、全体にわたる可視性が課題になります
Paidyプラットフォームですべてのものを可視化することは、最大の課題の1つです。 「当社には大きく複雑なクラウド環境があります。こうした動的なアセットを、すべて管理することは困難です」とBeatty氏は述べています。 「何百人ものデベロッパーが、可能な限り速くマイクロサービスをクラウドにプッシュし、同時にインスタンスを上下にスピンし、バックアップまたS3バケットを作成し、高速で移動しているため今現在何があるのか把握するのが非常に困難になっています。当社のクラウドアセット全てのセキュリティポスチャーは何であるかを知る必要があります」
シニアクラウドセキュリティエンジニアのJeremy Turner氏は、Beatty氏の右腕としてクラウド環境のセキュリティを確保しています。 Paidy入社以前から二人はチームを組み、セキュリティの課題にアプローチする方法を理解しています。
機能している場合は、セキュリティエージェントは素晴らしいものです。(通常は機能しません)。
「長い間この問題に取り組んできました」 「セキュリティと脆弱性に対処するあらゆるものは通常、エージェントをインストールする必要があることを学びました。しばらく情報セキュリティで働けば、エージェントが壊れていることが分かります。エージェントを更新する必要があり、それが他のセキュリティ脆弱性へのベクトルになる可能性があります」
Turner氏は、機能する限りはエージェントが素晴らしいことを認めています。 「通常、エージェントは機能しません。依存関係など、考えるべきことがあります。エージェントはLinuxカーネルでは機能しないかもしれません。Windowsのバージョンでも同様です。いろいろな要素が絡み合っています。エージェントに数年対処した後、Orcaをインストールして使用するのがどれほど簡単か分かりました。エージェントレスのアプローチは主要なイノベーションであり、ゲームチェンジャーであることが分かりました」と、Turner氏は述べています。
「エージェントはLinuxカーネルでは機能しないかもしれません。Windowsのバージョンでも同様です。いろいろな要素が絡み合っています。エージェントに数年対処した後、Orcaをインストールして使用するのがどれほど簡単か分かり、エージェントレスのアプローチは主要なイノベーションであり、ゲームチェンジャーであることが分かりました」と、Turner氏は述べています。
Jeremy Turner
シニア クラウド セキュリティ エンジニア
レガシーの脆弱性スキャナとAWSツールは適していません。
Paidyセキュリティチームには、クラウドに適応したさまざまなレガシーツールの経験がありました。 「エンタープライズ環境またテスト環境において、Trend Micro、Qualys、Tenableを使用した経験もあります。Tenable社とQualys社の商品は、どちらも従来のエンタープライズ製品をボルトでゆるくクラウド上に固定したような使用感でした。しかしまだエージェントへの対応が残っており、これではうまくいきません。サーバーレスやコンテナなどそのような用途に適さないテクノロジーへの対処がまだ残っているのです。」
「Tenable社とQualys社の商品は、どちらも従来のエンタープライズ製品をボルトでゆるくクラウド上に固定したような使用感でした。しかしまだエージェントへの対応が残っており、これではうまくいきません。サーバーレスやコンテナなどそのような用途に適さないテクノロジーへの対処がまだ残っているのです。」
Jeremy Turner
シニア クラウド セキュリティ エンジニア
Paidyは、ネットワークスキャナを使用することを排除しました。 Turner氏によれば、「認証されていないスキャナーとの経験があるので、可視性が限られており、ダウンタイムを作成できることは知っていました。
「認証済みスキャナは、より多くの脆弱性データを提供するかもしれませんが、設定し、そして権限を昇格させる多くの作業が必要です。これにより、エンタープライズはリスクが発生します。なぜなら、別の共有アカウントとパスワードが基本的にあるからです」
Amazonなどのクラウドプロバイダは、セキュリティスキャンツールを提供します。 「脆弱性スキャナであるAmazonのAWS Inspectorはエージェントが必要です。通常、Amazon AMIに入っていますが、特定のAMIのみで機能します」 「AWS GuardDutyは、脆弱性スキャンとコンプライアンスチェックをチェックします。しかし、報告は最大の問題です。データを使用することは困難である場合があります。脆弱性の一覧をポップアウトすると、それらについて何をすべきか理解することは私たち次第です」
Beatty氏によると、「複数のAWSアカウントがあり、マルチクラウドであるため、生じていることすべてを監視できる単一のビューを持つことは困難でした。マルチクラウドの可視性は、当社において一番の問題でした。第二に、例えばAWSサービスや類似ものを使用して、ツールを調整する時間とリソースがありません。エージェントを必要としないサービスを使用したいのです – 定期的に更新する必要がなく、単に機能する場所です」 Paidyでは、Orca Securityがこれらのニーズなどすべてを満たします。
Orca SideScanning™は、必要な可視性を提供
Orca Securityプラットフォームは、他のセキュリティツールとは大きく異なります。 SaaSとして提供され、側面からクラウドブロックストレージを帯域外から読み取ります。したがって、SideScanning™とよばれます。 お客様のクラウド環境内ではコードは実行されません。 代わりに、Orcaはクラウド環境の読み取り専用モデルを構築し、その後潜在的なセキュリティ問題を評価するためにスキャンします。
完全な可視性を持っている点は、Turner氏が最も高く評価していることです。 「可視性は、すべての組織が抱えている問題です。Orcaは、脅威の状況を広く深く迅速に見通すことを可能にしてくれました」とTurner氏は述べています。 「データを取り出し表示すると人々の目が覚めます。Orcaは、おそらく2〜3年前からテスト環境で存在していた、システムの『差し迫る危機』を表面化したという事例がありました。システムは、完全に旧式のOSを実行していました。Orcaによってこの点が特定され次第、エンジニアが即時に対処チケットを作成しました。システムがUATと生産に入る前に、脆弱性を検出できたことは幸運でした」
Beatty氏は、可視性という価値に同意しています。「目の前にある問題を見落とすことはありません。Orcaのダッシュボードで『差し迫る危険』が表示される以上に明確なものはありません」
Orcaはアカウントのスプロールの問題でもPaidyに役に立っています。 「12のAWSアカウントを実行しています」とTurner氏は述べています。 「各アカウント内容は不明でした。Orcaにプラグインすることで、各アカウントで実行されている内容が30分以内で表面化できました。こういった迅速な解決法は他にはないでしょう」
アセット管理は、OcraがPaidyに提供するもう一つの機能です。 Orcaは、各アセットの場所、メタデータ、脆弱性リストのインベントリを提供します。 「インスタンスを選び、誰がログインしているか、ログインに失敗した試みがどれほどあり、またはその上にインストールされているパッケージを見ることができることは最高です。すべてのインスタンスごとにエージェントに依存せず、これを実行できることに感謝しています」とTurner氏は述べています。
Orca Securityは、PIIを特定して保護し、Paidyのコンプライアンスへの取り組みを緩和します
PaidyがOrca Securityプラットフォームでより多くの経験を得るにつれて、チームは生成されるデータのより多くの用途を見つけています。 「フィンテック企業として、害を及ぼすデータの組み合わせに大変気を払っていますが、Orcaはこの点でも役立っています」とTurner氏は述べています。 「たとえば、サービスを使用する際に、ユーザーは携帯電話番号を入力しなければなりません。しかし、銀行口座情報と購入履歴を組み合わせたホームページアドレスまたはメールアドレスを取り扱う場合、PIIの問題と日本のデータプライバシー規制に足を踏み入れることになります」
Turner氏はOrcaがPIIを保護する方法を説明します。 「OrcaがPIIを疑っているかどうかを知ることができます。『このサーバーにはpaidy.comに属していないメールアドレスが含まれています。何か問題が発生している可能性があります。』と教えてくれる灯台のようなものです。これに基づいて調査を開始できます。今のところ、有害なデータのデータの組み合わがあるとは知らせてくれませんがどこを探せばよいかを示してくれます。データサイエンスチーム作成したデータベース結合が、このように有毒なデータの組み合わせになったいう状況がありました。これもOrcaのおかげで未然に防ぐことができました」
Paidyは、多くのデータプライバシー法を遵守しなければなりません。 日本の越境プライバシールールは、EUのGDPRに類似しており、2004年に個人情報保護法が成立しました。 Orcaは、Paidyが個人情報を完全に特定して暗号化できることを監査人に証明しています。 Paidyは、脆弱なPIIをスキャンする機能があることを簡単に知ることができます。
Turner氏は、JiraとのOrca Securityの統合を利用してチケットを開きます。 そしてこれはワークフローのトリガーとなり、人やプロセスが適切な措置を取ることができます。例えば、機密データを暗号化したり、あるいはOrcaが見つけた他の問題を修正したりすることです。
「OrcaがPIIを疑っているかどうかを知ることができます… データサイエンスチーム作成したデータベース結合が、このように有毒なデータの組み合わせになったいう状況がありました。これもOrcaのおかげで未然に防ぐことができました」
Jeremy Turner
シニア クラウド セキュリティ エンジニア
Orcaがマーチャントのオンボーディングを加速しPaidyの収益を増加
Orcaは、Paidyがより多くのマーチャントを獲得し、それによって収益を上げることに役立っています。 「通常、マーチャントは第三者による当社のセキュリティレビューを行いたいと考えています」とBeatty氏は言います。 「Orcaのおかげで、必要に応じて脆弱性をスキャンして緩和していることを簡単に示すことができるようになりました。 これにより、マーチャントは当社のセキュリティ体制に安心感を持ち、信頼関係を構築することができます。
もし自分のチームが環境の可視性を高めるために複数のレガシーソリューションを統合し、カスタマイズしなければならないとしたらどのようなコストがかかるかをBeatty氏は考えています。 Paidyは、こうしたソリューションを進めて管理するには、2人の従業員と年間50万ドルのコストが必要であると見積もっています。
「Orcaについて同僚と話す際には、AWSだけでなく、AzureやGCPなど、すべてのクラウド環境についてのインサイトを提供してくれるようになると伝えています。アカウントが増えれば増えるほど、社員が何を実行しているのかを把握できるため、より大きな価値が生まれます」とBeatty氏は言います。
