One Mountグループ

One Mountグループは、Cloudflareとパートナーシップを組んでゼロトラストを進んで導入し、「オールクラウド」化を進めています。

• VinShop は、独立系店舗のオーナーが先端テクノロジーを取り入れたサプライチェーン・在庫管理によってビジネスを成長させられるようにする、専用の小売アプリです。
• VinID は、支払い、住宅管理、財の購入、金融サービスなど多機能を統合したスーパーアプリで、ベトナム最大の消費者向けロイヤルティプログラムです。
• OneHousing は、住宅関連のあらゆるニーズを満たすワンストップアプリで、購入、販売、投資、その他の不動産関連サービスをサポートしています。

課題：オンプレミスのセキュリティ機器からクラウドベースのゼロトラストソリューションへの移行

One Mountグループは早くからクラウドインフラストラクチャとSaaSツールへの投資を優先事項として取り組んできましたが、一方でオンプレミスのVPNを維持し、企業リソースにリモートでアクセスできるようにしていました。ただ、会社が成長してリモートワークが普通になるにつれて、そうしたオンプレミスの機器が原因でフラストレーションが溜まり、無視できない危急の問題になりました。

One MountのITスタッフにとって、VPNは構成やトラブルシューティングに時間がかかるものでした。信頼性に欠けたり速度が遅かったりすることもあり、特にSaaSアプリへのトラフィックではそうした問題が顕著でした。特定のアプリやユーザーグループに制御を適用するのが面倒な場合もあり、管理者は時に「何にでもアクセス」を認め、組織をラテラルムーブメントの脅威にさらしていました。

長期的には、One Mountグループはこの過剰な信頼を抑えて、組織がリモートワークや自前デバイス業務使用（BYOD）のイニシアチブを推進しやすくなるように「拒否をデフォルトとする」ベストプラクティスを採用しなければなりませんでした。

One Mountグループは創業当初からCloudflareのパフォーマンスサービスを利用して外部Webプロパティを保護してきましたので、Cloudflareのゼロトラストプラットフォームを実装してセキュリティを社内業務にも拡張する機会だと考えました。具体的にはCloudflare for Teamsと呼ばれるプラットフォームで、クラウド、オンプレミス、SaaS環境のすべてでアプリケーションを保護するゼロトラストネットワークアクセス（ZTNA）ソリューションと、インターネット上の脅威からユーザーを保護するセキュアWebゲートウェイソリューションが含まれています。

One Mountはさらに、コードのカスタマイゼーションを容易にしてパフォーマンスとセキュリティを強化するため、Cloudflare Workersを追加しました。Workersは開発者にサーバーレスの実行環境を提供し、インフラの構成や保守をすることなく、エッジでカスタムコードを実行することによってまったく新しいアプリを作ったり既存のアプリを強化したりできるようにしています。

Cloudflare for Teamsはリモート接続をセキュアにし、One Mountにゼロトラストの強固な基盤を提供しています。

One Mountは、まず社内のWebベースアプリケーションを保護することからゼロトラストへの移行を始め、徐々にアプリの量や種類を増やしてセキュリティを高めていきました。最近では、Cloudflareのフォワードプロキシ機能を活用して、以前はOne Mountのオフィスでの「ネットワーク接続時」にのみアクセスできたファイル共有などの従来型リソースに関して、認証プロセスを合理化しています。

One Mountは現在、数百名の従業員、フリーランス、契約社員のために何百種ものアプリケーションを保護しており、近い将来VPNの使用を完全に停止できると予想しています。今後は、Cloudflareがサポートする「コードとしてのインフラストラクチャ（infrastructure-as-code）」のアプローチによって、アプリ保護のためのワークフローのほぼすべてを自動化したい考えです。

「ゼロトラストの採用はきわめてシンプルな選択でした。当社のビジョンは『オールインターネットの企業』となってすべてをクラウド上に置くことです。企業ネットワークの境界で制限されたくないため、Cloudflareのゼロトラストプラットフォームは当社にぴったりでした。」（One Mountサイバーセキュリティ担当取締役、Phạm Anh Liêm氏）

One Mountでは、複数のIDプロバイダー（IdP）を同時にオンボードできるCloudflareの柔軟性が特に高く評価されています。Cloudflareを使うと、グループベースやIDベースのポリシー作成が容易で、特に面倒でエラーが起こりやすいVPN構成のプロセスに比べて遥かに簡単です。

Liêm氏いわく、「Cloudflareのおかげで時間を大幅に節約できました。新しいアプリケーションを作成するたびに、当社が好むIdPに応じて容易く保護を追加でき、とてもシンプルです。」

こうしたIdP統合での柔軟性は、エンドポイント保護（EPP）ソフトウェアの統合にもいえることです。具体的には、One MountではCloudflareを好みのEPPプロバイダーと統合して、デバイス認識型で最小権限の原則に基づいたアクセスポリシーを設定しています。可視性とセキュリティをこの統合にも拡張適用することによって、One MountはBYODを完全に受け入れることができています。同社は2021年末までに、Cloudflareのデバイスクライアントを従業員側エンドポイントすべてに展開していく計画です。

「リモートワーカーがこんなに大勢いると、すべてのデバイスを信頼することはできませんので、当社のシステムで受信するリクエストすべてについて適正な要素の検証を行ってからアクセスを許可するようにする必要があります。」とLiêm氏は語っています。

One Mountは、ユーザーのアウトバウンド接続にもフィルターを適用し可視性を広く確保することによって、このゼロトラストのアプローチをインターネットブラウジングにも拡張適用しています。Cloudflareが登場する前は、マルウェアやリスキーなインターネット接続先からユーザーが守られるのは、各地域のオフィス内で勤務する時に限られていました。

「従業員が企業ネットワーク上にいる時だけでなく、いつどこにいてもインターネット上で安全であるようにしたいのです。」（Liêm氏）

One Mountでは、会社の成長に伴ってCloudflareと共にクラウドベースのゼロトラストアプローチを拡張していくことを楽しみにしています。

「当社は、専らパブリッククラウドでホストされた金融サービスをベトナムで早い時期から提供してきた企業の1つで、Cloudflareはゼロトラストを実現する上で欠かせないパートナーです。」とLiêm氏は言います。

One Mountでは、Cloudflare Workersを使ってエッジでカスタムコードを実行し、複雑な問題を容易に解決しています。

同社でのCloudflare Workersサーバーレスプラットフォームのユースケースは、バックエンド処理のオフロード、低頻度ながら量の多いタスクの処理、動的アクセス制御のための境界セキュリティソリューションの開発、動的なIP許可リストの作成、詐欺検出など多岐にわたります。これらのユースケースはほぼすべて、One Mountの社内業務に欠かせないものです。

Phạm Anh Liêm氏によれば、「Workersは、私たちがきわめて難しいユースケースに取り組む際に必須の重要要素です。サーバーレスソリューションに対する当社のニーズを満たすのに最適な選択肢です。」

One Mountは、WorkersをCloudflareのWAFやDDoS軽減対策と統合して、特別プロモーション中の詐欺を防止しています。たとえば、同社では仮想プロモーションを行っていますが、その間は短時間で何百万ものユーザーが競ってプロモーションバウチャーを入手したり限定版の製品を購入しようとします。One MountはWorkersを使ってカスタムコードをWAFやDDoS軽減対策に統合することによって、攻撃者が自動化されたスクリプトを悪用してバウチャーや製品をかっさらい、正当なカスタマーが何も手にできないといったことがないようにしています。

One MountはCloudflare Workersによって、エンドユーザーの最寄りポイントの処理能力を使ってロジックを実行し、さらにCloudflare WAFで悪用行為を阻止します。基礎となるインフラの拡張について心配する必要は一切ありません。Workersがなければ、ユーザーエクスペリエンスに影響を及ぼすことなく、こうした保護をバックエンドで設計し、実装し、自動的に拡張することはきわめて難しかったでしょう。

「Workersのおかげで、開発者はコードを書いて、すぐに結果を見ることができます。開発や運用のコストを大幅に削減できましたし、製品の作り方も大きく変わりました。」（Phạm Anh Liêm氏）