OneTrust

OneTrustは自社のインフラと顧客のアプリケーションにCloudflareのソリューションを統合

OneTrustは、企業が信頼性を高め、テクノロジーで信頼を競争優位にできるように支援しています。米国の非公開会社で、過去3年間の成長率が48,000%と驚異的な成長を遂げています。世界中で7,500社以上が、OneTrustのSaaSソリューションを使ってプライバシーとセキュリティ、そしてCCPA、GDPR、LGPD、PDPA、ISO27001といった規制への適合を管理しています。

課題：効率的で拡張可能な費用対効果の高いパフォーマンス・セキュリティソリューションをデプロイして、目覚ましい成長をサポート

CTOのBlake Brannonが入社した当時、OneTrustはクラウドサービスプロバイダーのネイティブのセキュリティツールでSaaSプラットフォームを保護し、クラウドプロバイダーのコンピューティング機能で、最もよく見かける製品であるWebサイトクッキーバナーのカスタムコードを実行していました。OneTrustの社内アプリケーションへのアクセスはVPNで保護されていました。Brannonは、効率性と拡張性に優れた費用対効果の高いパフォーマンスとセキュリティのソリューションで、会社の急成長をサポートしたいと考えました。

「OneTrustは目覚ましい勢いで成長していますし、世界のプライバシー保護規制は常に変化しています。当社には、俊敏性とすばやく効率的に拡張するための能力が必要です。以前使っていたソリューションは、当社の成長に対応するのに十分な堅牢性を持ち合わせていませんでした」と、Brannon氏は説明しています。

OneTrustは、手始めにCloudflareのコア製品であるパフォーマンス・セキュリティスイート（Cloudflare WAFを含む）を導入しました。そして、会社が成長するにつれて、Rate Limiting、Argo Smart Routing、SSL for SaaS、Workers、Accessを追加していきました。

Cloudflare Workersで遅延を半減し、エグレス費用を劇的に削減

Cloudflare WorkersはOneTrustのサーバーレスアーキテクチャとして機能し、同社が重要な製品機能を提供しつつ遅延とコスト、開発所要時間を最小限に抑えられるようにしています。

そうした製品の一つがOneTrustのCookie Consent製品、各サイト訪問者のロケーションによってパーソナライズされるプライバシー保護のポップアップバナーです。これらのバナーは、GDPRやカリフォルニア州消費者プライバシー法（CCPA）、その他の地域的プライバシー規制を遵守するための鍵となることが多く、訪問者がそうした規制の対象裁判管轄からWebサイトを訪問した際に表示されます。バナーは訪問者に、データが収集されて特定目的に使われるかもしれない旨を知らせ、データの使用について訪問者の同意を得ます。

「ユーザーが同意の選択をするまでは、追跡機能などWebサイト上の特定機能はオフのままで、ユーザーが同意を与えない限り働かないようになっています」とBrannon氏は説明します。「バナーは、訪問者の裁判管轄を調べるジオロケーターを実行するカスタムコードに依存し、適切なポリシーバナーを動的に読み込みます。訪問者のロケーションによって、バナーが不要な場合もありますし、特定の機能を無効化して他は無効化しないバナーの表示が必要な場合もあります。

OneTrustは、Cloudflare Workersの実装前は、利用していたクラウドサービスプロバイダーのコンピューティング機能を使ってバナーのコードを実行していました。このため、コードも開発プロセスも非常に複雑でした。しかも、サービスのヒット数が毎週およそ640億もあったため、遅延や膨大なエグレス費用の問題も起きました。Workersに切り替えたことにより、コストも遅延も大幅に減りました。「すごい効果でした。遅延が半減し、コストは90％も削減されたのです。」（Brannon氏）

OneTrustは、訪問者の同意をデバイス間で同期する新しい製品機能のデプロイメントにもWorkersを使用しました。「ユーザーがデスクトップでWebサイトを訪問し、同意の選択をすれば、Workersがその同意を他のデバイスにも援用します。ユーザーにとってはとても便利です。さらに、ユーザーの同意の選択はその地理的ロケーションに最も近いWorkersノードを経由して配信されるため、劇的なスピードアップが可能です。」

Workersは今や、OneTrustのサーバーレスアーキテクチャとして機能しています。Workersは、コスト削減と低遅延アプリケーションの構築を可能にしただけでなく、社内の開発プロセスも改善しました。「Workersは高度な分散型アーキテクチャですから、極めて可用性の高い機能をどう構築するかをチームと模索する時間が省けます。市場投入までの時間（TTM）が劇的に短縮されましたので、Workersでコーディングすれば高可用性のサービスレベル契約（SLA）を遵守できるとわかっているのです。」

Cloudflareのパフォーマンス・セキュリティソリューションはOneTrustのSaaSプラットフォームに緊密に統合

OneTrustは、33のトップレベルドメインとおよそ16,000のサブドメインにCloudflare製品を使っており、つい先頃、Cloudflare CDN経由で配信する月々のトラフィックが２ペタバイトを超えました。CloudflareのSSL for SaaSのおかげで、OneTrustの全顧客がバニティドメインをデプロイするという選択肢を持っています。

「当社は、コア顧客向けクラウド製品から社内のアプリやWebサイトに至るまで、ビジネス全体にCloudflare製品を実装しました。Cloudflareは、OneTrustのプライバシー、セキュリティ、ガバナンスの技術的ソリューションに不可欠な部分であり、市場における当社の差別化に役立っています。」-- Blake Brannon氏（CTO）

Cloudflare WAFは、OneTrustに対する毎月3000万件超の脅威をブロックしています。Brannon氏と彼のチームは、セキュリティ脅威の可視化とポリシーのきめ細やかな制御も可能になりました。「WAFは簡単ですが、とても強力です。当社のAPI呼び出しは極めてオープンなものもあれば、制限が厳しいものもあります。WAFなら、アプリケーションの各ページごとに固有のポリシーを簡単に作成することができます。」

Cloudflareを使っていなければ、OneTrustのクラウドサービスの請求額はもっと高くなっていたでしょう。「当社のお客様は大企業が多く、サーバーサイドのコンピューティングとパフォーマンスの量は膨大で、需要が高まっています」とBrannon氏は言います。「CloudflareのCDN、Rate Limiting、トラフィックシールディングのおかげで、何もかもが当社のAzureアカウントに返ってくることはありません。費用の節約はもちろん、高いパフォーマンスと信頼性を維持しながらのグローバルな拡張が可能です。」

Cloudflare Accessによって社内アプリへのシームレスで安全な接続が可能に

OneTrustは、Accessを実装する前はAzure ADの多要素認証（MFA）でいくつかの社内アプリを保護し、その他はIP制限かVPN、もしくはその両方で保護していました。Brannon氏はVPNに依存したくありませんでした。VPNはユーザーが施設内に居なければならず、VPNからのトラフィックはすべて３つのコーポレートオフィスを経由しなければなりませんでした。「当社には世界中に12のオフィスがあり、そのトラフィックがすべてファイアウォール/VPNシステムに返ってくるなんて馬鹿げていると感じていました。そんな時に新型コロナウィルス感染症が大流行して、ますます意味を成さなくなったのです。」

OneTrustの開発環境でCloudflare Accessをパイロット導入して成功したため、Brannon氏は同社の残りの社内環境もAccessの背後に置いて保護することにしました。現在は、同社のすべての開発者とテスター、総勢約550人がAccessを使っています。ユーザーからのフィードバックは肯定的評価が圧倒的に多く、AccessによってOneTrustのセキュリティポスチャが改善されました。「AccessをAzure ADのインフラとMFAに統合しただけではありません。機密性が極めて高い当社のサービスはハードウェアで作成した証明書が必要ですが、それらのサービスがすべてAccessの制御へとマッピングされています。Accessを使うようになってから、MFAのサポートさえしていなかったVPNに比べて、当社のセキュリティポスチャが大幅に強化されました。」

Accessは従業員の生産性も向上させました。「ユーザーの中にはバーチャルミーティングにモバイルで出席したい人もいました。VPNでは出来ませんでしたが、Accessなら可能です。ユーザーが接続を切って再接続しなければならないような遅延の問題もなく、ミーティングはスムーズに進行しました。VPNではここが大問題だったんです。」

CloudflareのおかげでOneTrustはコアコンピテンシーに注力可能に

自社のITインフラストラクチャと顧客のアプリケーションにCloudflareのソリューションが統合されているため、OneTrustの開発者は管理業務に費やす時間を減らし、会社の目標達成に寄与するプロジェクトに時間をかけることができます。

「OneTrustは、ネットワーク境界の維持をCloudflareに任せ、お客様の信頼性向上に役立つテクノロジーの提供に集中することができます」とBrannon氏は付け加えます。「Cloudflareを使うと、コンテキストに応じたZero Trustポリシーを簡単に構築し、開発者ツールへの安全なアクセスを実現できます。従業員は必要なツールに簡単に接続できるため、チームはCloudflareがバックエンドを担っていることすら知りません。とにかく上手く機能しています。」