BlockFi

セキュリティスタックの簡素化と、内部リソースへのスケーラブルなZero Trustリモートアクセスを実現

BlockFiは、旧来未開拓だった市場に金融のエンパワーメントをもたらすという使命の下、従来型金融とブロックチェーン技術を世界的規模でつないでいます。BlockFiの利子勘定、暗号通貨担保ローン、BlockFi リワード機能付きクレジットカード、暗号通貨取引プラットフォームは、日々の小売クライアントから一流ヘッジファンドまで、世界中の暗号資産所有者が活用しています。

BlockFiは45万以上の資金調達クライアントをサポートし、100億ドル以上の資産を運用しています(2021年6月30日現在)。同社は、先頃 Bain Capital主導のシリーズDで調達した3億5000万ドルをはじめ、4億5000万ドルを超える資金をエクイティファンディングで確保しています。

課題:複雑なセキュリティソリューションを包括的Zero Trustプラットフォームに置き換えること。まずは大規模なDDoS攻撃やAPI攻撃を阻止

BlockFiは、外部のWebプロパティと従業員をオンライン脅威から保護するために、2020年にあるベンダーの複数サービスをデプロイしています。そのソリューションはデプロイメントが複雑で、複数のエンドポイントエージェントが必要なうえ、アプリケーションアクセスの安全を確保するためのネイティブ統合機能を欠いていました。また、BlockFiは、主要な企業リソースへのリモートアクセスを専らIPベースの制御で有効化していました。グローバルに分散し1000人近くまで急増したワークフォースについてIPブロックと許可リストを維持管理するのは時間がかかり、拡張もできませんでした。

ちょうど代替のベンダーとアプローチを模索し始めた頃、BlockFiは突如2件の深刻なサイバー攻撃に同時に見舞われます。極めて大規模なDDoS攻撃と、サインアップAPIへの攻撃です。これらの攻撃が起こったのは、BlockFiが毎週約2万の新規小売クライアントを契約し急成長していた時です。

自社で攻撃を軽減するだけの十分な内部リソースが無かったBlockFiは、Cloudflareに助けを求めました。「CloudflareはBlockFiが困っている時に駆けつけてくれました」と、チーフセキュリティオフィサーのAdam Healy氏は振り返ります。「Cloudflareの担当者を文字通り朝6時に起こしました。当時、BlockFiはCloudflareの顧客ではありませんでしたが、それでも必要なリソースすべてをすばやく動員してくれました。」

DDoS攻撃とAPI攻撃を阻止した後は、Cloudflareと協力してスケーラブルなZero Trustセキュリティソリューションを実装

Cloudflareの助力により、BlockFiはオンボーディングを受けながらDDoS攻撃とAPI攻撃を阻止することができ、システムは6時間以内に通常運用に戻りました。おかげで、「数百万ドルとまでいかなくても数千ドル」の収益を失わずに済み、顧客や投資家の間の風評被害も軽減することができました。

攻撃を軽減した後、BlockFiはより包括的な組織セキュリティ変革を進め、従業員と機密データをCloudflare Zero Trustプラットフォームで保護することを決めました。このプラットフォームには、クラウドとオンプレミスの両環境でアプリケーションを保護するZero Trustネットワークアクセス(ZTNA)ソリューションと、ランサムウェア、フィッシング、その他のインターネットベースの脅威から保護するセキュアWebゲートウェイ(SWG)が含まれています。

現在、BlockFiの高価値な社内アプリケーションは、機密データを扱い同社のミッションクリティカルな業務の推定70%を担う2つのアプリケーションを含めて、すべてCloudflare ZTNAソリューションで保護しています。

「Cloudflareのおかげで、当社の分散環境全体で社内アプリに対するきめ細やかなZero Trustアクセス制御が可能になり、当社のセキュリティポスチャが大幅に改善されました」と、リードサイトリライアビリティエンジニアのDan Rue氏は述べています。「システムのイングレスを完全に制御でき、拡張もしやすく、耐障害性も格段に高まりました。」

Healy氏も、「CloudflareのZero Trustサービスによって、リモート主体でグローバルに分散した当社のワークフォースと、パブリックインターネットに露出していないクリティカルな社内アプリケーションを保護することができました」と語っています。

セキュリティスタックの簡素化でコスト最小化と生産性向上を実現。Cloudflare Workersを使ったサーバーレスコンピューティングと静的サイトのホスティングで、開発プロセスも最適化

BlockFiは、Zero Trustネットワークアクセスを導入したことで、それまでフルタイムのエンジニア4名が専任で維持管理していたIPブロックと許可リストの使用を止めることができました。以前は、IPアドレスを変更した従業員が、BlockFiのエンジニアが新しいIPを許可リストに追加する間待たされることがたびたびありましたが、今は、従業員がどこからでも、どのデバイスからでも、BlockFiのシングルサインオン(SSO)プロバイダーOktaを通じてログオンするだけで、リソースに安全にアクセスできるようになりました。

「当社のエンジニアはIPブロックと許可リストの維持管理をしなくて済むため、アプリケーションの強化など、ビジネスを推進する戦略的プロジェクトにもっと時間を費やすことができます」と、セキュリティプログラム管理担当VPのEric Freeman氏は述べています。

開発プロセス改善の機会と見たBlockFiはさらに、開発者にサーバーレスの実行環境を提供するCloudflare Workersと、フロントエンド開発者が読み込みの速いウェブサイトをすばやくデプロイできる JAMstackプラットフォーム、Cloudflare Pagesを追加しました。

BlockFiはCloudflare Workersを使ってアプリケーションロジックのネットワークエッジへの移行を進めており、それによってパフォーマンスを向上させ、同社の社内アーキテクチャを簡素化します。BlockFiの開発者はよく、Workersを使ってコードスニペットを、Cloudflare Pagesで構築した静的サイトに挿入しています。このやり方だと、サイトコードを再び各よりも遥かに速く変更を加えられます。BlockFiでは今後、Workersをもっと頻繁に使っていくことになります。

「Workersは当社の複雑なユースケースの多くを明快かつ簡潔に解決してくれますし、Cloudflare Pagesは、当社のクラウドサービスプロバイダーより遥かに簡単なクラス最高級の静的サイトホスティングを実現してくれます」とRue氏。

ネットワークエッジでの多層防御を実現

Cloudflareによって、BlockFiは悪性Webサイトへのユーザートラフィックを簡単にブロックでき、従業員がインターネットをブラウジングする際に、マルウェアをドライブバイダウンロードさせるサイトやフィッシングサイトの被害に遭うリスクが軽減されます。特にフィッシングメールに関しては、送信先が組織内の全員か特定の標的かにかかわらず、BlockFiはアンチウィルス検査を実行し、脅威カテゴリーフィルターを掛けて有リスクリンクの解決を防ぐことができます。

BlockFiは、CloudflareのZero Trustプラットフォームと同時にCloudflare Bot Managementソリューションもデプロイしましたが、その効果はすぐに現れました。Bot Managementはデプロイメントから1日も経たないうちに、BlockFiのサイトへ到達しようとする約1000万の悪性ボットをブロックしました。これにより、悪性トラフィックがサイトパフォーマンスを悪化させないようにし、ユーザーのログイン資格情報を侵害しようとするクレデンシャルスタッフィングやその他のボットからBlockFiを守っています。

「ログイン資格情報を入手しようとするフィッシングリンク、クレデンシャルスタッフィング、その他の攻撃から従業員を保護することによって、Cloudflareは多層防御に欠かせないエンドユーザー保護を提供してくれています」とFreeman氏は言います。

ZTNAからDDoS攻撃対策、悪性ボット対策に至るまで、CloudflareのソリューションはBlockFiのデータ環境に深く組み込まれ、実質的にBlockFiのネットワークエッジを形成しています。

「Cloudflareは当社のエッジです。当社のクラウド環境全体を保護してくれています」とHealy氏。「当社の境界は安全で、思い通りの規模と速さで拡張できる耐障害性があります。」

Rue氏はさらに、「Cloudflareは、安全に拡張する当社の能力にとって極めて重要であり、当社のスタックにぴったりとフィットします。当社のCloudflare統合は既に広範にわたっていますが、まだまだこれからです。Cloudflareが最良のツールになる潜在的ユースケースは、他にもたくさんあります。」

BlockFi
主な成果
  • アプリケーションのパフォーマンスに悪影響をもたらす自動攻撃を阻止

  • 時間のかかる手作業の制御を止め、自動化されたZero Trustアプリケーションアクセスを実現

  • セキュリティスタックを大幅に簡素化し、組織のセキュリティポスチャ全般を強化

Cloudflareは当社のエッジです。当社のクラウド環境全体を保護してくれています。当社の境界は安全で、ニーズの拡大に伴ってすばやく拡張できる耐障害性があります。

Adam Healy氏
最高セキュリティ責任者(CSO)

Cloudflareのおかげで、当社の分散環境全体で社内アプリに対するきめ細やかなZero Trustアクセス制御が可能になりました。これにより、当社のセキュリティ体制は大幅に改善されています。

Dan Rue氏
主任サイト信頼性エンジニア