Indeed

Indeedは、VPNをゼロトラストのアプローチに置き換えることによってITとセキュリティを最新化

Indeedは世界No.1の求人サイトです。2004年創業でテキサス州オースティンを本拠とするIndeedは、北米、アジア太平洋、欧州に15,000名以上の従業員を擁しています。Indeedでは、毎月3億5000万人以上のユニークビジターが求人検索、履歴書登録、企業研究などを行い、350万以上の雇用主が候補者を見つけています。ジョブマッチングと求人に使いやすいデザインと高度な技術を用いていることで知られるIndeedは、60か国以上で28言語で求職者にサービスを提供しています。

課題：技術的負債を削減しながらセキュリティを最新化

Indeedのセキュリティチームは、同プラットフォームが利用者である何億人もの雇用主や求職者にとって安全であることと、履歴書、職務経歴、個人特定可能情報などの機密ユーザーデータを漏洩や盗難から保護することを優先しています。

「当社は、可能な限り最良のデータスチュワードである義務があります。」と、Indeedで情報セキュリティ、エンジニアリング、オペレーションのチームを統括するシニアマネージャー、Matthew Ortiz氏は説明します。「Indeedの利用者は求職中という脆弱な状態にあります。最も貴重な個人データを当社に託され、安全で効率的な環境の確保は当社に依存されているのです。」

こうした日常的なセキュリティの懸念に加え、Indeedでは、複雑してきたITエコシステムを最新化する必要性も認識していました。複雑さが原因で、SaaSアプリ、データセンター、クラウドリソースへのトラフィックの制御は一貫性を欠いていました。また、データセンターへトラフィックをバックホールする非効率や、オンプレミス仮想プライベートネットワーク（VPN）など従来の境界型ツールへの過剰依存も問題でした。

「成長につれて技術的負債が増大しました。ネットワークとセキュリティのスタックが複雑化して、それによるリスク発生と生産性低下を引き起こしました。簡素化する必要がありました。複雑化は問題や脆弱性を生む一方だからです。」（Ortiz氏）

そこで、Indeedは、こうしたセキュリティ強化と最新化の目標を達成するために、Cloudflareのコネクティビティクラウドを導入してエニーツーエニー接続を保護することにしました。Cloudflareと提携して、自社ITエコシステムの変革、簡素化、セキュリティ強化、クラウド内のアーキテクチャ最新化に着手したのです。

ユースケース：Indeed求人検索Webサイトの保護

この変革の初期ステップの1つが、Indeedの主要な一般向けWebサイトのセキュリティを最新化することでした。そのために、IndeedはCloudflareのWebアプリケーションファイアウォール（WAF）とボット管理機能をジョブプラットフォームにオンボードし、脅威を無害化し、詐欺を減らしました。

「求人情報や応募の詐欺は当社のビジネスにとって深刻な潜在的リスクであり、ユーザーを危険に晒し、信頼を損ないます。Cloudflareのおかげで、こうしたリスクを事前に予防し、軽減して、当社プラットフォームを利用される数億人の求職者の安全を確保することができます。」（Ortiz氏）

レガシーVPNの置き換えによる変革の加速

最初の導入から3か月も経たないうちに、Indeedは、全従業員の接続とセキュリティを最新化する長期戦略的な取り組みもCloudflareと協力して進めることにしました。これには、従業員がリソースへアクセスする方法の見直しも含まれます。このプロジェクトの第1フェーズでは、リスクを生み、ユーザーを苛立たせていた従来型VPNの置き換えに焦点を当てました。

「当社の従来のアーキテクチャは暗黙の信頼に依存していました。つまり、従業員はオフィス内にいるだけで、必要以上に多くのデータやリソースにアクセスできたのです。それに、VPNは遅かったりフリクションの一因になったりして、ユーザーが苛立ってVPN接続をオフにすることがあり、盲点ができていました。」（Ortiz氏）

そこで、Indeedはアクセス方法を最新化すべくCloudflare（具体的にはゼロトラストネットワークアクセス（ZTNA）サービス）のオンボーディングを開始しました。まず、このソリューションを評価するために、さまざまなデバイスタイプや役割（請負業者を含む）を代表する数百人のユーザーから成るテスト専用グループに、Cloudflareを数週間かけて徐々に展開しました。テストを行ったおかげで、Cloudflareが既存アーキテクチャにどのようにフィットし、重要アプリ、開発者環境、AWSインフラストラクチャを保護するのかを確認することができました。

Indeedは、わずか3か月強でVPNを完全に廃止しました。何百もの既存アクセスポリシーの移行と、全世界に13,000人以上いる従業員と請負業者に対するCloudflareの展開も含めて完了しています。現在、IndeedはInfrastructure-as-Code（IaC）ツールのTerraformを使って、新規ユーザーのオンボーディングや新ポリシーの設定など、継続的な管理業務の大部分を自動化しています。

ZTNAの効果：ユーザーエクスペリエンス向上とリスク低減

Cloudflareのアクセスアプローチに関するフィードバックは上々です。

Ortiz氏によれば、「各地のユーザーが、Cloudflareを使ったアクセスはVPNより遥かに優れ、一貫性が高いと報告」し、遅延低減と接続の信頼性向上が見られました。その効果は、従来VPNで問題が生じていた地域で特に顕著でした。

IndeedはVPNをCloudflareで置き換えることによりゼロトラストのベストプラクティス（コンテキストに基づいた最小特権アクセス、デフォルト拒否）を実践し、リスクを軽減しています。

「Cloudflareのおかげで、アクセスの付与をより意図的に行えるようになり、ID、デバイスポスチャ、場所、その他の変数に基づく検証が可能になりました。このゼロトラストアプローチはリスクへの適応に役立ち、レガシーアーキテクチャより遥かに大きな自信を与えてくれます。」（Ortiz氏）

とりわけ、Indeedのセキュリティチームが可視性を回復したことが大きいといいます。VPNではサービスの途切れ、迂回、その他の接続問題が起こり、大部分のユーザーは持続的接続を維持できませんでした。Cloudflareを導入した現在は、Indeedのユーザーは就業時間中はほぼずっと接続を維持できます。

「Cloudflareはセキュリティの盲点を解決するのに役立っています。そのおかげで、どんなアクセスポリシーを設定するかについて、より良い判断を下せるようになりました。」とOrtiz氏は述べています。

レガシーVPNをCloudflare ZTNAに置き換えたことの効果は、社内最高レベルでも実感しています。

「Cloudflareで全社的なゼロトラスト導入が簡素になり、少ない労力でリスクをより効果的に軽減できます。」と、Indeedのシニアバイスプレジデントで最高情報責任者、最高セキュリティ責任者を兼務するAnthony Moisant氏は述べています。

生成AIのリスクの特定と軽減

Cloudflareが提供する可視性は、IndeedがAIツールへのデータ漏洩のリスクを低減するのに役立っています。特に、Ortiz氏と彼の同僚が、従業員が使っている未承認AIアプリ（「シャドーAI」）を特定し、情報の露出を防ぐために適宜制御をかけるのに役立っています。現在、この制御には未承認の生成AI（GenAI）ツールへのアクセスの制限が含まれています。将来的には、データ損失防止（DLP）スキャンによる機密データのより詳細な検出が含まれる予定です。

「正当なユーザーが多いとはいえ、AIにはセキュリティとプライバシー上の大きな懸念があります。CloudflareはシャドーAIのリスクを検出し、未承認AIアプリやチャットボットをブロックしてくれます。」（Ortiz氏）

今後の計画：セキュリティとネットワーキングのクラウド移行をさらに推進

Indeedは今後、より多くのセキュリティコントロールとネットワーク接続をクラウドに移行することによるITアーキテクチャ簡素化を続ける計画です。ゼロトラスト原則を全環境に拡張し、Ortiz氏が「究極目標」とする全社的ゼロトラストを目指します。

Indeedではこれまで、ユーザーからアプリケーションへのトラフィックの保護に重点的に取り組んできましたが、今後のユースケースとしてマシン間ワークロードのIDベース検証などがあります。アクセスワークフローの簡素化に加え、CloudflareのDLP、クラウドアクセスセキュリティブローカー（CASB）、その他のセキュアアクセスサービスエッジ（SASE ）機能を使ったデータ保護強化、SaaS環境セキュア化、脅威防御についても検討しています。

IndeedとCloudflareのこれまでの協働の手応えから、Ortiz氏は前向きに考えています。

「Cloudflareは、当社が取引する全ベンダーの基準になっています。Cloudflareは複雑さを緩和しセキュリティを全般的に向上させることにより、最も重要なステークホルダー、つまりIndeedプラットフォームの核心たる雇用者と求職者の信頼を守っています。」