ポーランドスカウト連盟(ZHP)は、6歳から25歳の青少年に教育やリーダーシップ訓練のプログラムを提供しています。2022年現在、ZHPは9万人の会員を擁しています。
主にポーランドで活動する全国組織で、英国やアイスランドなどいくつかの国外ポーランドスカウト連盟との協働も行っています。そうした他国の連盟は独立していますが、同じ価値観と使命を持っています。
ZHPは夏休みや冬休みの体験プログラムを企画する最大級の組織で、森でのキャンプは人気のあるプログラムの1つです。
この連盟は現在、国境でのウクライナ支援活動や地域の継続的支援を行っています。ZHPの会員は、国境や鉄道駅、バスの停留所で難民の支援に当たり、一時的な宿泊施設の手配、物資の収集と分配を行いました。こうした活動はZHPが全国レベルで企 画運営し、各地方・地域でも進められました。
たとえば、2022年のイースター週末にルブリンで200名の難民に朝食を提供し、新型コロナウィルス感染症の初期に地域社会を支援する活動も実施しました。
ZHPは、Cloudflareのコアプラットフォーム、特にDDoS攻撃対策とWebアプリケーションファイアウォール(WAF)を利用しており、システムへのログインを制限してセキュリティポスチャーを強化するため、Accessの利用も希望しています。
ZHPには正式なIT担当組織がありません。ボランティアのチームが時間外労働でWebサイトの稼働維持と会員データベースの保守に努めています。地域の自治組織が多数集まったZHPの構造上、WordPressで作成された500ものサイトを管理する必要があります。各ユニットが独自のサイトを持ち、それぞれに独自の設定があって、ホストも様々です。そのため、サイトの保守と安全確保が大変で、特にサイトが感染した時は大仕事になります。
ウクライナ危機が始まった時、ZHPはサイトやシステムをダウンさせかねないDoS攻撃をとても心配していました。Webサーバーログでいくつかの攻撃を発見したのです。紛争初期はストレスが酷く、その後何が起こるか誰も見当がつきませんでした。不安が募り、安全性を高めたい と思いました。
当時、ZHPはCloudflareのFreeプランを使っていましたが、セカンダリドメインが主でした。メインドメインには独自のDNS要件があって、Freeプランを使えなかったのです。そこで、Googleで「NGO向けのCloudflare」を検索し、プロジェクトGalileoのページにたどり着きました。
申し込みフォームに入力し、2日後に承認されました。ダウンタイムを発生させずにDNSゾーンを移動しなければなりませんでしたが、誰もが難民支援に奔走しており、難しい作業でした。コンピューターセキュリティチームの責任者でサイバーセキュリティ専門家の役割を担うPaweł Kowalczyk氏は、地元ルブリン市が手配した一時宿泊所に詰め、ベッドの準備や必要物資の配布で多忙でした。そんな中でラップトップに向かい、他の国境都市で活動する同僚のサポートをしながら、DNSゾーンの移動を行っていたのです。チームにとって大変な数週末でした。
ZHPのDNSゾーンは巨大で、GitHubを介して「コードとしてのインフラストラクチャ(IaC)」のアプローチで管理されています。オンボーディング時に最も時間を要したのが、この部分です。GitHubを使っているのは、各ユニットがリクエストするDNS設定変更を自動化しやすいからです。(WordPressのインスタンスが500もあって、それぞれが独自設定であるため、自動化は時間の節約になります。)DNSスイッチ後、Cloudflareへのオンボーディングはすぐ終わり、Cloudflareツールを使ってサイトやITシステムの安全確保を始めることができました。
「これまでに全国レベルのサイト、Webサイトや内部システムのある40のドメインのオンボードが終わっています。それらは組織全体で使用するWebサイトやシステムで、トラフィックの大部分を占めています。」(Kowalczyk氏)
使っているITシステムの中でも会員データベースは特に重要で、GDPRコンプライアンスを維持し、会員が活動に参加する前に会費を支払っていることを確認するのに欠かせません。
ZHPは一般的にハイジャックとコンテンツ置換をとても心配しています。ウクライナ危機が始まり、それが主要な脅威となりました。 ZHPは創立100年と長い歴史があります。共産主義時代は、政府との協力関係により評判を落としました。これはポーランドでは現在でも非常に気を遣う話題で、ZHPはできる限り政治的中立を保ち、政治には極力関わらないようにしています。もしも誰かがサイトをハッキングし、政党や政治的思想との関係を示唆する虚偽のコンテンツを掲載すれば、ZHPの評判がさらに悪化するでしょう。
ZHPはCloudflare Analyticsで、Webサイトへのトラフィックの多くが国外からのものであることに気づきました。不審に思って調査を開始したところ、サイトにそれまで知らなかったSEOスパムがいくつか見つかりました。
また、Q&Aシステムとして使っているWebサイトの1つが古いソフトウェアで稼働し、感染していることも判明しました。こうした発見はCloudflare Analyticsのおかげでした。このシステムは無効化できないため、「マネージドチャレンジ」のアクションを含むファイアウォールルールを導入 しました。24時間におよそ1万7000件のチャレンジが発されましたが、解決したのは326件だけでした。 「Cloudflareのおかげで、ブロックしたトラフィックの多くについて可視性を確保でき、CAPTCHAの突破率は1%未満です。すばらしい製品だと思います!」(Kowalczyk氏)
利用開始