Applied Systems

従業員、アプリ、ネットワークのセキュリティを統合し、デジタルトランスフォメーションを加速

1983年創立のApplied Systemsは、保険業界向けのSaaSソリューションを構築しています。シカゴを本拠とする同社は、米国、英国、カナダ、西欧、インドに2,500名以上の従業員を擁しています。Applied Systemsは保険業界のグローバルリーダーで、国際企業やエンタープライズ企業、地域代理店、中小企業などあらゆる規模の独立系保険仲立業者にサービスを提供しています。

Applied Systemsはインシュアテックへの画期的アプローチで世界的に知られ、2022年にInsurance Times紙が英国のベストブローカーソフトウェア管理会社に認定したほか、2023年米国ゴールデンブリッジビジネス・イノベーションアワードの該当カテゴリーで首位に輝いています。

課題：デジタルトランスフォメーションの加速

Applied Systemsにとってセキュリティは常に最重要事項です。同社は、顧客である保険業者のために大量の金融データ、支払い記録、個人情報（PII）、その他の規制対象情報や機密情報を保護しなければなりません。

Applied Systemsは2019年にCEOと経営陣を刷新し、以来、より大規模で要求の厳しいエンタープライズ企業顧客に対応するために、デジタルトランスフォメーション推進イニシアチブを優先し、一層力を入れてきました。2021年にはTanner Randolph氏が最高情報セキュリティ責任者に就任し、俊敏性、効率性、安全性の向上機会を探るべく技術アーキテクチャの見直しが行われました。

「Applied Systemsは前進途上にあり、クラウドネイティブな企業への変革を急加速しています。私の着任時は、ZscalerやCiscoなど複数のセキュリティベンダーが提供するさまざまなコンポーネントがあり、当社データセンターへのネットワーキングパスもばらばらでした。ここ数年はセキュリティとネットワーキングの統合スタックを中心とした統合に重点を置いています。」

Applied Systemsは2022年に、セキュリティとネットワーキングの機能の大部分をCloudflare上に統合する作業を開始しました。

• 一般大衆向けのWebサイトとアプリを保護、パフォーマンスを強化
• ネットワークインフラ全体にわたり、安全かつ拡張可能な接続
• 従業員と内部リソースを守るためのZero Trustセキュリティ体制

「複数ベンダーシステムのさまざまなコントロールプレーンで管理するのではなく、Cloudflare上に制御を統合することによって、私のチームはビジネスの推進に注力できます。そう言えるセキュリティチームは少ないのではないでしょうか。」（同氏）

Webサイトとアプリケーションを保護

Applied SystemsがCloudflareの検討に踏み切った主な要因は、顧客のソフトウェア体験を最新化する必要性であり、特に、旧来のシッククライアントアプリケーションからSaaS環境への機能移行に伴ってそのニーズが高まっていたからです。

「クラウドネイティブな顧客が期待することを理解しているクラウドネイティブなベンダーと組みたい。そうすれば、すべての最新アプリで顧客に安全ですばらしい体験を常時お届けできると思ったのです」とRandolph氏は述べています。

Applied Systemsはこれまでに、Webアプリケーションファイアウォール（WAF）、コンテンツ配信ネットワーク（CDN）、DDoS軽減、レート制限などのCloudflareアプリケーションサービスをデプロイして、悪性トラフィックをブロックし、アプリケーションのパフォーマンスを向上させています。Cloudflareは信頼性が高く、Applied SystemsのWeb向けアプリをクラウドへ移行するプロセスがスムーズに進行していると、Randolph氏は評価しています。

「Cloudflareは優れたパフォーマンスと一貫性で、アプリケーションを悪性トラフィックから保護し、遅延を一様に低減しています。」

ネットワーク接続を保護

Applied Systemsはビジネスの成長と野望を支えるために、ネットワーク接続のアーキテクチャをCloudflareで合理化しました。具体的にはMagic TransitとMagic Firewall（サービスとしてのファイアウォール）を実装しています。同社の成長に伴い、これらのサービスは総合的にネットワークトラフィックを加速し、脅威（L3 DDoS攻撃など）から防護し、管理者が必要に応じてセキュリティフィルターを適用できるようにしました。

「Cloudflareは当社と共に拡張します。それが最大の利点です」とRandolph氏は述べています。「当社の最大の顧客がクラウドネイティブなデプロイメントへ移行する際も、Cloudflareならネットワークアプライアンスの追加も帯域幅の買い足しもせずにトラフィック増加に対応できます。以前のベンダーなら、コストは倍以上になっていたでしょう。」

Applied Systemsは、特にファイアウォールポリシーの拡張と多層化において俊敏性を発揮してきました。当初のファイアウォールポリシーは、特定の地理的位置からのトラフィックをブロックするなど、基本的なものでしたが、その後徐々に、SIEMで分析したログデータに基づく独自のファイアウォールルールを書き始め、CloudflareをInfrastructure-as-CodeツールのTerraformとAPI統合してカスタムルールのデプロイメントを自動化し始めました。

「脅威トラフィックが劇的に減りました。全データセンターに適用する普遍的ルールを書けるのが素晴らしいですね。DevOpsのベストプラクティスを導入し、自動化することによって、変更のロールアウトをCloudflareで極めて効率的にできるようになりました。」

Zero Trustを導入しZscalerとCiscoに代替

Randolph氏が入社した頃は、Zero Trustアーキテクチャの導入が最優先課題でした。

それまで、Applied SystemsではZscalerとCiscoのサービスを使っていました。具体的には、インターネットへのアウトバウンド接続にはZscaler Internet Access、内部アプリへのアクセスにはCisco AnyConnect VPNを使っていたのです。Randolph氏によれば、これらの個別ポイントソリューションの管理はチームの作業を複雑にし、可視性のギャップを生み、会社が成長を続けるにつれて長期的には高コストになることが予想されました。

同氏は、各サービス特有の問題もいくつか指摘しました： 業務に必須のWebサイトをZscalerがブロックして生産性が落ちるという苦情が開発者から頻繁に上がり、Applied Systemsはポリシーを緩和して、望む以上のリスクを受容するという対応をとり始めました。 Cisco AnyConnect VPNはエンドユーザーにとって遅かっただけでなく、各アプリへのリクエストを逐一認証せずにネットワーク全体への従業員アクセスを許可したため、過剰なリスクが生じました。

これらのベンダーからCloudflare Zero Trustに切り替えたことで、Applied SystemsはWeb、クラウド、プライベートアプリのセキュリティ制御を統合することができました。

「Cloudflare Zero Trustに関するフィードバックは上々です。デプロイしやすく、従業員にも好評です。作業できる時間は同じでも、企業としての安全性は格段に上がっています。」（Randolph氏）

ユースケース：セルフホスト型アプリへのアクセスをデフォルトで拒否

特に、CloudflareのZero Trustネットワークアクセス（ZTNA）サービスは、Applied Systemsが2,500名を超える従業員全員に提供するすべてのセルフホスト型アプリやインフラストラクチャに、よりきめ細かなポリシーを実装するのに役立っています。

「Cloudflareのおかげで、『デフォルトで許可』から『デフォルトで拒否』のセキュリティ体制へ移行することができました。体制チェックの整備により、どのユーザーグループか、どのデバイスを使用しているかなどの情報を基にアクセスを許可できるようになりました」と、Randolph氏は述べています。

セキュリティチームは、ユーザーのさまざまなニーズとアプリケーションのリスクレベルに応じて、適用する制御の厳格度を柔軟に調整できます。例えば、Cloudflareのデバイスクライアントが私物デバイスにデプロイされている従業員でも、HRポータルにアクセスして休暇を申請することができます。一方、開発者は管理されたデバイスを使い、比較的高リスクの本番環境にアクセスするために厳しいチェックをパスしなければなりません。

ユースケース：新たなAIツールの安全確保とデータの保護

また、Cloudflare Zero Trustは、Applied SystemsのユーザーがChatGPTなどの新しい人工知能（AI）ツールで行う機密データのやり取りや利用を保護するのにも役立っています。

具体的には、Applied SystemsはCloudflareの分離されたブラウザーでChatGPTのパブリックインスタンスを実行しています。このChatGPTツールのWebコードをすべてCloudflareネットワーク上で実行することによって、Randolph氏のセキュリティチームは、ユーザーによるツール内データの操作を制御（ダウンロード、アップロード、コピペなどの制限など）することができます。

「従業員がAIを活用しつつ安全性を確保できるようにしたかったのです。ユーザーが機密データを他のアプリから当社の分離されたChatGPTインスタンスへコピペするのを防止し、多くの企業情報がツールに暴露されないようにしています」とRandolph氏は述べています。

ChatGPTを分離することで企業の安全性を高めつつ、ツールの使い方をいろいろと試すことができ、Applied Systemsは自信をもってSlackで独自インスタンスを作成し、改良できるようになりました。このユースケースは、データ保護に対するRandolph氏の一般的なアプローチを表しています：セキュリティ制御は「実用的」でなくてはならず、従業員の生産性を犠牲にしてはならないという考え方です。

「当社では、メールについても同じ考え方をしています。人は、個人メールをチェックできるのが望ましいけれど、必ずしも個人メール内でコピペやアップロード/ダウンロードができる必要はないと考えています。」（Randolph氏）

メールセキュリティ、クラウドアクセスセキュリティブローカー（CASB）、データ損失防止（DLP）などのCloudflareサービスをデプロイすれば、Randolph氏と彼のチームは今後も、より多くの環境とデータに制御を拡張し、可視性を広げていくことができるでしょう。Applied Systemsには、情報を保護するだけでなく、米国をはじめ世界各地の規制の変化に適合するための体制ができるでしょう。

「顧客に規制コンプライアンスについて聞かれた時は、先方のCISOに当社がCloudflareを利用していることを告げて、使っている製品を説明するだけで済みます。通常の質問にはそれだけで対応できます。」（Randolph氏）

次は何を？

新たなセキュリティ制御への投資は、すなわち高質なIT・セキュリティ体験への投資です。そのために、Applied SystemsではCloudflareの Digital Experience Monitoring（DEX）を早期導入しました。DEXは、企業全体のエンドユーザーとデバイスの接続、アプリケーションのパフォーマンス、ネットワーク接続について、履歴的可視性とリアルタイムの可視性を提供しています。

「私のチームは、入手できる情報が多ければ多いほど、従業員の生産性を維持するITをより効果的に提供できます。Cloudflare DEXのようなツールは、今後の開発に関する決定を後押しする可視性と知見を得る上で大いに役立つポテンシャルがあります。」（Randolph氏）

Cloudflareとの連携

Applied Systemsはわずか数年で、Cloudflareを使って従業員、アプリケーション、ネットワークのセキュリティ統合と最新化を大きく前進させました。

複数タイプのデプロイメントをCloudflareと緊密に連携して行い、Cloudflareのチームが同社のアーキテクチャをよく知るにつれて、Applied Systemsのカスタマーサポートの対応力と品質が徐々に上がってきました。

「製品とサポートの品質は毎月改善しています。私のチームは、Cloudflareに支えられて効果的に仕事ができ、会社のセキュリティ戦略に注力することができます。」（Randolph氏）