Money Forward

マネーフォワード社、アプリとインフラの安全対策にCloudflareを活用

2012年設立、東京を拠点とするフィンテック/SaaS企業、マネーフォワード社は、法人、個人、金融機関にサービスを提供し、オープンかつ公正な「お金のプラットフォーム」を構築することに注力しています。同社では、個人向けの家計簿・資産管理サービス（「マネーフォワード ME」）やバックオフィスSaaS（「マネーフォワード クラウド」）まで、様々なサービスを提供しています。マネーフォワードFintechプラットフォームでは、金融機関向けの総合サービスを提供しています。

マネーフォワード社は法人・個人の顧客に対し、60種を超すサービスを提供しています。有料版を利用する法人契約数は前年比20%ペースで増加し、課金顧客数は34万を超えています。

家計簿・資産管理サービス「マネーフォワード ME」の利用者数は1600万人を突破しました。マネーフォワードの主な特長は、幅広いユーザー層で、法人、個人の両方で広く利用されている点です。同社は、ベトナムにも開発拠点を置いています。

課題：アクセスのピーク時にも顧客向けアプリケーションの安全を確保し、可用性を維持する

マネーフォワード社ではユーザー数と製品ポートフォリオの急激な増大により、既存のパフォーマンスツールとセキュリティツールをアップグレードする必要がありました。自社のインフラストラクチャ（特にWebアプリケーションファイアウォール（WAF））は、耐障害性、容量、スケーラビリティに欠け、着実に増えていくトラフィックを捌き、セキュリティ要件を満たすことに苦心していました。こうした欠点は、月初と月末に訪れる財務処理とトランザクションボリュームの急増に対処するうえで、特に顕著となっていました。既存のWAFではこうした状況をうまく処理しきれなかったことから、マネーフォワード社の配信元サーバーは、安全性と可用性の両面で潜在的な危機に直面していたのです。

マネーフォワード社のCISO室、高田 士氏は、「会社が成長するのに従い、通常のトラフィック集中ですらインフラがひっ迫し始めていました。すべてが問題なく機能するよう、毎月その時期になると急増する帯域幅需要に対処するために、WAFを一時的に構成し直すか、同時にオフラインにする必要がありました」と振り返ります。

非効率的なWAFに加えて、マネーフォワード社では自社の財務アプリケーションを保護するために必要なドメインとSSL/TLS証明書の急増を管理するという二次的な問題も抱えていました。同社では急増する顧客Webサイトと二次ドメインの数を管理することに、自社のリソースを削られるという状況に追い込まれていたのです。

積みあがる煩雑な作業、一貫性の欠如、既存のセキュリティツールによって生じる脆弱性の高まる期間などに対処するため、マネーフォワード社のセキュリティチームは、自社特有の動的な要件を満たすことのできる、より堅牢でスケーラブルな単一ベンダーソリューションを模索し始めました。

ソリューション：Cloudflareのグローバルネットワークで提供されるスケーラブルで可用性の高いアプリケーションセキュリティサービス

マネーフォワード社ではソリューションを模索する最初のステップとして、CloudflareのアプリケーションサービスとクラウドベースのWAFを、他の定評あるインターネットセキュリティおよびWAFベンダーが提供する複数の製品と比較しました。ネイティブのグローバルな脅威インテリジェンス、機械学習ベースの脅威検出、管理型ルール、カスタムルールセットなどを備えたCloudflareは、同社の求めるWAFおよびアプリケーションセキュリティソリューションとしてたちまち注目されるようになりました。

高田氏は「コスト、パフォーマンス、機能性を基準にテストを重ね、当社の主力製品のひとつであるマネーフォワード MEの安全対策にCloudflareを選びました。当社サービス全体を保護する目的でCloudflare導入の決め手となったのは、スピード、安定性、デプロイのしやすさでした」と指摘します。

Cloudflare WAFは月に336万件を超えるマネーフォワードのファイアウォールがらみの問題を自動で検出し、緩和します。このおかげで、当社の財務アプリケーションスイート全体が効率的に保護され、開発チームとITチームは他の戦略的なタスクに集中できます。

高田氏は、「Cloudflareでは当社が常に最新の状態を維持できるよう、定期的なフォローアップをしてくれます。また、リクエストへの対応も迅速で、技術面でのアップデートは自動で行われるので、DDoSや自動化されたボット攻撃など、最新の脅威からも保護されています」と述べています。

Cloudflareのソリューションパートナー、三井物産セキュアディレクション（MBSD）による付加価値

マネーフォワード社では、Cloudflareの実装とセキュリティ管理プロセスをさらに合理化するために、日本のインターネットセキュリティの草分けとして定評ある三井物産セキュアディレクション（MBSD）のサポートも受けています。

高田氏は、「MBSDのSOCチームが当社のトラフィックを監視し、Cloudflareのリッチな管理型ルールと状況特化型で自社開発されたカスタムルールセットをサポートしてくれるおかげで、当社の開発チームはより良いサービス管理のための他のタスクに集中できます。Cloudflareの導入でインフラストラクチャやセキュリティについて心配する必要はなく、本来のビジネスの改善に集中できるという安心が得られます」と述べています。

数十年に及ぶサイバーセキュリティ分野の経験をもとに、日本のセキュリティ専門企業が、Cloudflareソリューションの豊富な知識を活用し、マネーフォワード社全体へのCloudflare WAFとアプリケーションサービスのデプロイを後押ししました。こうしてマネーフォワード社は会社全体の安全性を高め、時間と手間を大幅に削減できました。

時間のかかるタスクを自動化し運用の負荷を抑制

マネーフォワード社はCloudflare WAFを使用して自社の一般向けWebアプリとインフラを保護することで、ドメインとサブドメインの膨大なポートフォリオの管理をシンプルにするというもうひとつの課題への対処に集中して取り組みました。

マネーフォワード社はCloudflareのエンタープライズレベルのTLS証明書ライフサイクル管理ツールである「Advanced Certificate Manager」で、セキュリティチームの生産性を向上し、セキュリティ体制の強化を目指しました。世界中のデータセンターからマネーフォワード社のTLS証明書を自動で発行および更新することにより、Cloudflareで自社のWebトラフィックを暗号化し、DNSホスト名を保護するために必要な管理作業をカットすることができました。また、Advanced Certificate Managerのおかげで、人的ミスによりマネーフォワードのセキュリティ証明書が失効する状況を回避できます。

Cloudflare APIとTerraform Cloudflare Providerを使用することで、マネーフォワード社では「コードとしてのインフラストラクチャ」アプローチを活用し、TLSデプロイのカスタマイズとドメインセキュリティのプロビジョンおよび維持を簡潔にしています。グローバルネットワーク上で動的にURLを書き換えるためのCloudflareツールである「Transform Rules」は、マネーフォワード社のチームが配信元サーバーに送信されたリクエストヘッダーを変更する際に役立っています。

高田氏は、「当社のアプリケーションサービス提供チームとITインフラを管理するセキュリティスタッフはCloudflareを大変気に入っています。運用に求められるオーバーヘッドを削減し、最も時間を要する作業を自動化してくれました。Cloudflareではすべてがダッシュボードに集約されているので、セキュリティ管理をアウトソーシングしているにもかかわらず、セキュリティ体制を完全に可視化することが容易です」と述べています。

マネーフォワードでのデプロイ成功の陰には、Cloudflareと三井物産セキュアディレクションとの綿密な連携があったと指摘する高田氏は、今後もこの関係の継続を確信しています。

高田氏は、「Cloudflareは、当社の取り組みがアプリやインフラの保護か、パフォーマンスの向上かに関係なく、とても役に立ってくれています。すべてのソリューションが機能性に優れ、サポートも十分で、使用感でも秀でています。長期的なセキュリティパートナーをお探しのあらゆる企業にCloudflareをおすすめします」と述べています。