Carousell

Cloudflare Zero TrustでCarousellの社内ネットワークを保護し、シームレスなリモートワーカーアクセスを提供

2012年、Quek Siu Rui氏、Lucas Ngoo氏、Marcus Tan氏は、チャットするのと同じくらい簡単に商品を購入し、写真を撮るのと同じくらいシンプルに商品を販売できるスマートフォンおよびWebベースのマーケットプレイスを作ろうと思い立ちました。このアイデアは、Carousellとして結実します。

現在、Carousellはアジア最大規模を誇るC2C（消費者間取引）のeコマースマーケットプレイスです。同社はシンガポール、香港、台湾でトップクラスのライフスタイルショッピングアプリとして知られ、インドネシア、マレーシア、オーストラリア、フィリピンなどでも、急速に成長しています。Carousellのユーザーは、同社のサイトを利用して自動車、土地、ファッション、家電、補助器具、電子機器などを売買するようになりました。同サイトでは求人情報をホストしたり、より幅広い業界へ継続的にサービスを提供したりしています。

現在、シンガポールで人口の1/4以上の人々がCarousellを使用しています。今後もシンガポールと国外のユーザーが本サイトを利用するにつれ、この数字はますます増えていくことでしょう。

Cloudflare WAFとグローバルクラウドネットワーク — 2016年よりパートナーシップを継続中

2016年、Carousell社は1か月あたり1 PBを超える画像をホストするためにCloudflareを採用し、お客様に快適なユーザーエクスペリエンスを提供してきました。トラフィックの増大に合わせ、CloudflareではCarousellが集中的なパフォーマンス要件を満たし、同社の実施する定期的なフラッシュセールなどのトラフィックの増大が見込まれるイベントの間、確実に稼働できるようにしました。Carousellでは、Cloudflareを介して必要に応じてダイナミックページをキャッシュすることで、通常のトラフィックの3倍を超えるような急増も無理なくさばくことができます。これは、競合のCDNプロバイダーが同等のデータボリュームに対応するには、より高額なコストでしか対応できないレベルのパフォーマンスです。

Carousell GroupのDevOps、SR（サイトの信頼性）、プラットフォーム、サイバーセキュリティエンジニアリング担当ディレクター、Sanjeev Jaiswal氏は、「当社がCloudflareを利用するようになったのは、DNSとSSLターミネーションに必要なソリューションからでした。その後、Cloudflare Cacheを試し、別のCDNから自社のアセットを移動することにしました。現在では100%キャッシュされています。当社のCDN、WAF、キャッシング、SSLエンドポイント、DNSの要件はすべて、Cloudflareのグローバルエッジネットワークで処理されています。Cloudflareのお陰で、当社のビジネス指標を満たし、設備投資に見合う優れた結果を得ることができます」と述べています。

Cloudflareはプラットフォームを高速化し、スケールすることに加え、DDoS攻撃やリソース消費型ボットなどの大規模なセキュリティの脅威からCarousellを保護しているほか、クロスサイト スクリプティング（XSS）などの悪意のある活動も阻止しています。Cloudflare Webアプリケーションファイアウォール（WAF）では、集合知である脅威インテリジェンスを活用して悪意のあるリクエストを特定して防止し、Carousellを攻撃から先行的に防御し、アプリケーションを使用できる状態にします。

Jaiswal氏は「Cloudflare WAFは、OWASP（Open Web Application Security Project）およびCloudflareの専用ルールで当社のボックスをすべて調べます。また、カスタムルールの追加も簡単なので、そのようなところも、Cloudflareが当社のニーズに最適といえるポイントです。ファイアウォール機能の利用開始から、測定可能な遅延は検出されていません。Cloudflareのセキュリティ機能がサイト全体のパフォーマンスに影響を与えることはなく、さらに多くのチェックをすべて実行してもユーザーエクスペリエンスが損なわれることはありません。Cloudflareを使用していて実感する最大のメリットの1つはそこにあります」と指摘します。

Cloudflare Zero Trustで従業員のセキュリティにまつわる課題を解決

2019年以降、Carousellではコロナウイルス感染症拡大を乗り越え、ますます増える外国人従業員や請負業者に対応するため、徐々にリモートワークへの移行を進めてきました。このような根本的な変化を踏まえ、Carousellでは、会社全体のセキュリティについて、戦略的な見直しを始めました。つまり、社内のインフラストラクチャへの保護強化を刷新し、従業員が自社アプリケーションへ安全にアクセスできるようにしました。

Jaiswal氏は「今回、すべてを一から見直しています。これまでより幅広い人材のセキュリティチームを立ち上げ、新しいセキュリティポリシーを策定するために外部の監査員とも連携しています。また、セキュリティ研究者やホワイトハッカーとともに、バグバウンティプログラムへも参加しています。当社の目標は、これらの取り組みから結果を導き出し、サイトの機能強化、Carousellのインフラストラクチャおよびアプリケーションへのアクセス改善を実現し、その一方で、ID管理や特権管理へのアプローチの仕方を調整することです」と述べています。

同社はCloudflareを導入する前に、Zero Trustネットワークアクセス（ZTNA）のカテゴリーにいち早く参入した競合企業を評価しました。しかし、そのベンターの製品は、導入面でもエンドユーザーの使い勝手の面でも複雑さがネックとなり、導入に至りませんでした。

「Carousellには、セキュリティやアクセスの容易さという点で優れたアーキテクチャがありませんでした。非常に煩雑なものだったため、こんな複雑さはもう御免だと考えていたのです。検討したもう1つのソリューションは、実装があまりにも複雑でした。1台のマシンへの簡単なSSHアクセスにすら複数のコマンドラインパラメータが必要だったのです。それに比べ、CloudflareのZero Trustソリューションは実装が簡単で、実に明確に定義されていました」と、Jaiswal氏は述べています。

Carousellはクラウドとオンプレミス環境全体で、社内アプリケーション、Webサイト、ドメインへのアクセスを保護するために、CloudflareのZero Trustを実装しました。同社はこのソリューションによって、IPベースとジオロケーションベースのコントロール、またはオールキャッチパスワードなど、危険な代替アクセス方法を使用する不安をすべて解消できました。

CarousellはCloudflareを採用したことで、優先するIDプロバイダーによる検証に基づいてアプリケーションのアクセスを付与できるようになりました。また、管理者はアプリごとに、ユーザーのロールとグループメンバーシップに基づいて、一層強固なセキュリティポリシーを構築できるようになりました。Carousellはこのプロセスの中で、唯一のアクセスポイントとしての従来型VPNを廃止し、アクセスイベントごとに可視化できるようになりました。

CarousellではCloudflare Zero Trustの利用開始からすぐにそのメリットを実感しました。従業員のアプリケーションでの認証と、アクセスを設定するセキュリティチームの両方で、時間を削減し、効率を上げることができたのです。

Jaiswal氏は「Cloudflareのおかげで、開発者のリモート接続が合理化され、生産性も上がりました。VPNプロファイルをダウンロードし、アクセスを設定し、接続する必要のあるリソースを見つける代わりに、Zero Trustソリューションにより事前定義されたルーティングを持つ設定しやすい1つのエージェントを利用できます。これはとてもシンプルで、本番環境やそれ以外のリソースにシームレスに接続できます。これだけで、毎月ユーザーごとに15分の時間を削減しています」と述べています。

同氏はさらに、「SREチームだけで見ると、削減された時間はさらに増えます。別々の本番環境のために、信頼できない複数のVPNトンネルで問題をトラブルシューティングしたり、環境を利用できるように苦労したりする必要はありません。Cloudflareで何時間分もの手間と煩わしさを排除し、より大きなプロジェクトや取り組みに集中する時間ができました」と述べています。

CarousellではZero Trustネットワークアクセスを導入したことで、社内のセキュリティポリシーの保守に費やしていた時間も減らすことができました。一元的管理とはユーザーのロールの作成と保守が容易で、承認はスタッフが離職するのに応じて簡単に取り消すことができます。

Jaiswal氏は「Cloudflareではユーザーの資格情報をロールに結び付けるので、従業員が離職した場合、SREチームが行う、アカウントを無効にして削除し、ファイアウォールのアクセスを禁止するといった一連の作業は実に簡単です。1つの管理ポイントを持つことで、作業が飛躍的にシンプルになるのです」と語ります。

Carousellではまず、500人分のZero Trustライセンスで利用を開始しました。現在はビジネスユニット全体で、技術部門と非技術部門のユーザー、合計800～1000人に拡大する方向で検討しています。

Carousell SREチームはまた、Cloudflare レート制限と既存のクラウドインフラストラクチャを統合する方法についても検討しています。現在、競合製品とほぼ同じ機能を持つものの、コスト的には最大1/5になる製品に置き換えようとしています。

Jaiswal氏はそれまでCloudflareのソリューションを使用したことはありませんでした。ただ、そうしたソリューションと同等のサービスがあるという触れ込みの他社製品を数多く見てきた経験から、Cloudflare製品の使いやすさと継続的なカスタマーサポートに大変驚いたといいます。

同氏は「Cloudflareの分かりやすいオンボーディング用チュートリアルとトレーニング教材をもとに、独自の社内向け動画を組み合わせて学習曲線を高めることができました。特に触れておきたいのは、Cloudflareのアカウントチームとの密なコミュニケーションです。問い合わせへの対応から問題の解決、未来のロードマップ発表の提供にいたるまで、サポートが充実しています」と強調します。

Jaiswal氏は、「Cloudflareは複雑なZero Trustセキュリティソリューションを使いやすく、信頼できる形で効率的に提供してくれます。低コストで設定要らず、さらには既存のクラウド環境およびインフラストラクチャとシームレスに統合できます」と述べています。