LendingTree

Cloudflareのセキュリティ、パフォーマンス、サーバーレスソリューションは、LendingTree社にビジネスのスピードに合わせたセキュリティを提供

LendingTree社は、住宅ローン、学生ローン、ビジネスローン、クレジットカード、預金口座、保険などを最適な条件で個人消費者や企業の借り手と複数の金融機関とをつなぐオンラインマーケットプレイスです。LendingTree社は、全世界で400以上の金融機関と提携しています。1,500万人以上のアクティブユーザーがLendingTree社を利用して、自身の信用状況をモニターし、ローンを探し、財務状況を管理しています。

課題:多くの正当なトラフィックをブロックしてしまっていた非常に高価なセキュリティソリューションを置き換える

アプリケーション・セキュリティの責任者を務めるジョン・ターナー氏がLendingTree社のチームに加わった当時、同社はセキュリティベンダーとの間でコストとパフォーマンスに関する複数の問題を抱えていました。このベンダーのDDoS攻撃対策は従量課金制であったため、LendingTree社には膨大な超過料金が発生していました。また、このソリューションは、正当なトラフィックまでもブロックしてしまうものでした。

ターナー氏は次のように説明しています。「当時契約していたベンダーのソリューションはインテリジェントではなく、静的なものでした。1分あたりの希望するリクエスト数を手動で指定する必要がありました。その数を超過すると、ベンダーはそのトラフィックをオフロード処理し、超過分を請求してきたのです。」

この制限は、LendingTree社がマーケティングキャンペーンを行うたびに大きな問題を引き起こすことになりました。ターナー氏は次のように振り返ります。「私たちが新しいテレビによる広告やソーシャルメディアキャンペーンを打ち出すたびに、ベンダーが指定した任意の制限値を超えてリクエストが急増しました。ベンダーはその急増をDDoS攻撃と解釈して正規のトラフィックをブロックしてしまうことになったのです。」「ブロックされたことで潜在顧客を失っただけでなく、その顧客をサイトに誘導するために費やしたお金も無駄となり、その上ベンダーは『DDoS攻撃対策』を名目とした請求をしきたのです。」

ターナー氏がCloudflareに目をつけたのは、以前同社と仕事を共にした経験がきっかけでした。「私はコンサルティングの仕事の際、幾度となくクライアントにCloudflareを勧めてきました。私はCloudflareの製品は十分に機能を果たし、素晴らしい価値を提供してくれることを知っていました。」と彼は語ります。ターナー氏はLendingTree社に、CloudflareのサーバーレスプラットフォームであるWorkersとともに、ボット管理、WAF、DDoS攻撃対策などのパフォーマンスおよびセキュリティスイートを導入することを決めました。

Cloudflareボット管理により、LendingTree社のAPIを悪用する悪質なボットを阻止

CloudflareのDDoS軽減は非従量課金制であり、51Tbpsもの軽減容量を提供しているため、LendingTree社は任意のトラフィック制限の設定値を心配する必要はありません。LendingTree社はまた、ボット管理など、Cloudflareの他の多くのセキュリティ上の利点も享受しています。

LendingTree社のAPIを悪用する悪意のあるボットは、帯域幅の費用だけでなく機会損失も含め、同社に大きな損失を与えていました。ターナー氏は、ボットの精巧さと財務データをスクレイピングしているという事実から、一部のボットは競合他社によって配備されたものではないかと考えていました。しかしLendingTree社は、提携先各社が現在のレート情報を得るためにAPIにアクセスできる必要があったため、APIを完全に制限することができなかったのです。

ターナー氏は次のように語ります。「あるAPIサービスの請求が、月1万ドルから一夜にして7万5,000ドルになってしまいました。次の月には15万ドルにまで上昇しました。私のチームは、これらの攻撃を阻止するための調査とカスタムルールの作成に、多くの時間を費やさなければなりませんでした。攻撃者は常に戦術を調整しているため、私たちが書いたルールは、極わずかな時間に部分的にしか効果を発揮しないのです。」

Cloudflareのボット管理は、LendingTree社にすぐに結果をもたらしました。「Cloudflareのボット管理を有効にしてから、わずか48時間以内で特定のAPIエンドポイントに対する攻撃が70%も減少したのです。」とターナー氏は報告しています。

LendingTree社が以前使用していたソリューションとは異なり、Cloudflareのボット管理は、正当な自動トラフィックを妨げることはありません。「数十万件のリクエストのうち、正当なリクエストが悪意あるものと判定された例は1件だけでした。」とターナー氏は言います。

さらにターナー氏は、少なくとも1社の競合他社が実際にLendingTree社のAPIを悪用していたことを確認しました。彼は次のように振り返ります。「APIの不正使用を阻止した途端、ある競合他社のレートが一気に上昇しました。そして、LendingTree社以外の企業が突然、高い住宅ローン金利を提示したというニュースを目にしました。競合他社が我々のAPIをスクレイピングし、当社のデータを使用して我々を出し抜いていた疑いが濃厚です。」

Cloudflare Workersにより、LendingTree社はネットワークエッジでA/Bテストの実施とトラフィックのルーティングが可能に

ターナー氏は、ネットワークエッジでコーディングの問題を迅速に解決するために、サーバーレスプラットフォーム「Cloudflare Workers」を活用していると話します。「Workersは、私にとって十徳ナイフです。幾通りもの使い方があります。コードを書き直すだけではすぐに修正できない問題も、簡単に解決することができます。」と話します。これらの応用例には、オリジン間リソース共有ヘッダーの挿入、パラメータの書き換え、パケットの検査、A/Bテストの実施、受信TLSトラフィックの検査およびルーティングなどがあります。

ターナー氏は次のように説明します。「Workersは受信したリクエストがTLS 1.0であることを確認した後で、そのリクエストをルーティングします。このトラフィックの多くが、同じデータセンター内の隣り同士に位置しているにもかかわらず、インターネットを経由して通信している当社のサーバーから発生していることを特定することができたのはWorkersのおかげです。Workersなしでは、この問題を特定することはできませんでした。エッジでコードを実行し、それに応じてトラフィックをルーティングすることができるため、コストと時間を節約することができます。」

ターナー氏は最近、Workersを使用してCORS(オリジン間リソース共有)ヘッダーを挿入することでLendingTree社のシステムとAOLが運営するパートナーサイトの1つとの間にあった通信問題を解決しました。ターナー氏は次にように振り返ります。「Workersを使って問題を特定し、ダウンタイムもなく、コードも変更せずに数分でサービスを復旧させることができました。Workersがなければ、コードのリファクタリングやサーバーの変更をしなければならず、何週間もかかっていたでしょう。」

WorkersはLendingTree社のA/Bテストの実施方法を変えました。Workers導入前は、LendingTree社はNGINXプロキシを使用して、すべてのA/Bテストを自社側で実施する必要がありました。「A/Bテストのシステムは、すべて社内で作成したものです。」とターナー氏は話します。現在、LendingTree社ではCloudflare Workersを使用して、ネットワークエッジでA/Bテストを実施し始めており、複雑さを軽減しながらパフォーマンスを向上させています。

ターナー氏は次のように話します。「Cloudflare Workersは、LendingTree社の革命児です。クライアントセッション内で、またはそれと並行してJavaScriptを非同期的に実行できるほか、データの操作や決定を下すことも可能であるのに、それによるパフォーマンスや可用性への影響は一切ありません。これだけの機能性を備えたソリューションは他にありません。」

Cloudflareのセキュリティおよびパフォーマンスツールの追加することで、さらなる保護、最適化、コスト削減を実現

LendingTree社は、Cloudflareのセキュリティおよびパフォーマンスツールを組織全体にわたって多数連携させています。

例えば、LendingTree社では、ボット管理とCloudflareのレート制限およびカスタムWAFルールを組み合わせることで、悪意のあるボットに対する防御をさらに強化しました。「Cloudflareのレート制限は、過去4~5か月の間に当社のAPIエンドポイントの不正使用を阻止し、約25万ドルもの節約を実現してくれました。」とターナー氏は話します。

Cloudflare WAFは、LendingTree社のセキュリティ防御として活躍するもう一つの重要な構成要素です。ターナー氏は次のように話します。「Cloudflare WAFはサービスすべての価格設定が非常に素晴らしいのですが、それ以上に、使いやすくて機能も素晴らしいものになっています。WAFルールの管理や脅威インテリジェンスフィードを把握するための専任チームが必要なくなりました。Cloudflare WAFがすべて管理してくれるからです。」

LendingTree社がコンバージョン率の低下に気づいた際に、Google社からはページのロード時間を短縮する旨の提案がありました。ターナー氏はCloudflareのパフォーマンス最適化ツールを使用していくつかの変更を行った後、Google社にLendingTree社のページのロード時間をもう一度確認してもらえるように依頼しました。Google社の社員らは驚きました。ターナー氏は次のように振り返ります。「Cloudflareに組み込まれたパフォーマンス機能を活用するだけで、ページのロード時間を最大70%も改善することができたのです。Google社の社員らは、誰かが少しの変更を加えただけで、これほど早くサイトのパフォーマンスが向上するのを見たことがないと言っていました。」

LendingTree社は、Cloudflare TLS証明書を使用することで、コストを削減しつつ証明書の期限切れによるダウンタイムを防いでいます。ターナー氏は次のように話します。「当社では数千にも及ぶさまざまなプロパティを保有しています。これほどの規模になると、証明書の更新を見過ごしてしまうことは時間の問題でした。自動更新されるCloudflareのTLS証明書を採用することで、管理コストと証明書の期限切れによるダウンタイムによる収益損失という二つの面から、年間約5万ドルの節約ができています。」

ターナー氏は、LendingTree社がCloudflareから得る節約額は、Cloudflareのサービスにかかる費用を上回るものだと言います。彼は「Cloudflare は、私たちの製品を迅速、安全、確実に提供できるようにすることで、ビジネスのスピードに合わせたセキュリティを提供してくれています。」と話します。

LendingTree
関連導入事例
主な成果
  • Cloudflareのボット管理によって、悪用に多用されるAPIエンドポイントに対する攻撃を70%減少。

  • LendingTree社はWorkersを使用することで、同社のシステムとパートナーサイトの1つとの間にあった通信問題をダウンタイムもなく、コードも変更せずに即座に解決。

  • Cloudflareのレート制限がLendingTree社のAPIエンドポイントの不正使用を阻止し、5か月で25万ドルもの節約を実現。

  • Cloudflareのパフォーマンス・スイートを使用して、LendingTree社はページのロード時間を最大70%改善。

Cloudflare Workersは、LendingTree社の革命児です。クライアントセッション内で、またはそれと並行してJavaScriptを非同期的に実行できるほか、データの操作や決定を下すことも可能であるのに、それによるパフォーマンスや可用性への影響は一切ありません。これだけの機能性を備えたソリューションは他にありません。

John Turner
アプリケーションセキュリティ主任

Cloudflareのレート制限は、過去4~5か月の間に当社のAPIエンドポイントの不正使用を阻止し、約25万ドルもの節約を実現してくれました。

John Turner
アプリケーションセキュリティ主任