apree health がセキュリティアプローチを強化

Castlight Health と Vera Whole Health の合併により設立された apree health は、患者による医療へのアクセス方法と医療との関わり方、医療機関による医療提供方法、雇用主やその他の購入者による医療費の決済方法を変革するというミッションを掲げています。同社はテクノロジーと独自の臨床提供モデルによって決済と医療提供の変革を加速させており、その際に個人の医療情報（PHI）と接します。その情報を迅速かつ安全に共有するために、apree は信頼できるパートナーである Akamai のソリューションを必要としています。

apree は、患者が低コストで質の高い医療を見つけ、健康保険の詳細や請求情報にアクセスし、給付金を管理し、さらには健康状態を追跡できるようにする医療ナビゲーションプラットフォームとモバイルアプリを提供し、企業とその従業員を支援しています。同社のプラットフォームとアプリケーションは、100 を超える API パートナーとの統合と 1,000 を超えるサードパーティー顧客との統合によって実現されているため、ベストプラクティスに基づいたトップダウンのセキュリティ志向の文化が不可欠です。

apree の Information Security 部門担当 Senior Manager である David Quisenberry 氏は次のように説明しています。「情報の共有は、より良い医療効果を実現する唯一の方法です。しかし、その情報は非常に機密性が高く、保護する必要があります」

ボットによる大規模なソーシャルエンジニアリング攻撃や API 攻撃など、現在の攻撃の種類や傾向を踏まえると、そのようなセキュリティは極めて重要です。そのような環境でセキュリティに包括的かつ効果的に対処するためには、強力な保護対策の証拠を示しながら、優先順位付けと反復作業を継続的に行う必要があります。

残念なことに、apree にはセキュリティ運用（SecOps）チームをこのように強化する適切なソリューションが欠如していました。SecOps チームは、基本的な Web アプリケーションファイアウォールから潜在的な問題に関する通知を受け、手動で調査を行って最適な対応を決定するよう促されていました。同社でモバイルアプリを通じた Credential Stuffing が急増した際には、調査、潜在的な影響に関する報告、対策の実行に気が滅入るほどの時間と費用がかかりました。 

apree の Senior Information Security Analyst である Cat Schwan 氏は、「まるでもぐらたたきのようで、一時的にしかセキュリティ体制を改善することはできませんでした」と述べています。

apree の最優先事項は、API 攻撃を防止し、関連する攻撃をブロックすることでした。Akamai のアプリケーションおよび API 保護ソリューションをそのニーズに合わせて設定することで、同社はそれを実現できました。Akamai を利用することにより、セキュリティチームは POST リクエストやパートナー統合に使用される API の HTTP ヘッダーレイヤーにセキュリティレイヤーを追加しています。 

同時に、Akamai は、多くの手間と不安を招いていた大量のボットから、apree とそのモバイルアプリを保護しています。apree が最後に Credential Stuffing を受けてから 18 か月が経過し、このような攻撃への対処に伴うオーバーヘッドコストが大幅に減少しました。同様に重要な点として、apree は、消費者、雇用者、パートナーから委ねられた機微な情報のセキュリティを確実に確保することができます。 

さらに、Quisenberry 氏は次のように説明しています。「弊社のアプリケーションと医療ガイドに迅速かつ安全にアクセスできるようにすることが重要です。Akamai によってそれを確実に実現できることに、エンジニアリングチームは大喜びしています」

apree が Akamai と提携することとなったきっかけは API 攻撃の防御でしたが、さまざまな形でメリットを得てきました。

apree（当時は Castlight Health）が無料の COVID-19 ワクチンファインダーを立ち上げるために Boston Children’s Hospital（BCH）や疾病予防管理センター（CDC）と協力した際には、セキュリティが確保されているという確信を得ることと、必要に応じてスケーリングする能力を確保することが重要でした。BCH はソリューションに最新の COVID-19 ワクチンのデータを供給するテクノロジーインフラを構築し、そこから Castlight がリリースした最初の　Ungated 版の体験が生まれました。Akamai のグローバルプラットフォームによって自動的に、ワクチンファインダーが正確な最新情報を提示できるようになりました。

「Akamai を利用することで、不正な Web スクレイパーからバックエンドを保護し、この高リスクで注目度の高いプロジェクトに関連する膨大な量のトラフィックを処理できるようになりました。また、アプリが侵害されないようになりました」と Schwan 氏は述べています。

DDoS 攻撃防御、オリジンの防御、高度なボット検知など、apree が導入したアプリケーション保護機能は、侵入検知システムと連携して、迅速な脅威検知とインテリジェンスを実現します。Akamai のソリューションをこのスタックの一部として使用しているため、同社は攻撃ベクトルをより迅速かつ簡単に把握できます。

たとえば、apree がインジェクション攻撃を特定した際、Akamai は脅威環境を即座に保護し、可視化しました。「Akamai は、脆弱性の優先順位付けと 98% の仮想マシンへのパッチ適用に必要な知見を 5 日以内に提供してくれました」と Quisenberry 氏は語ります。

さらに、apree がセキュリティ基盤のさらなる強化のために Google Cloud に移行した際に、Akamai が不可欠であることが証明されました。Schwan 氏は、「弊社の環境が変化した際、Akamai のおかげで容易に移行することができました」と述べています。

まず、Castlight との合併時に Vera Whole Health の Web アプリのセキュリティを強化することに成功しました。「これらのアプリを驚くほど簡単に弊社の環境に統合することができました」と Schwan 氏は続けます。

実際、Google Cloud と Akamai の両方を利用することにより、SecOps チームが思い描いている自動化（堅牢な API コールを行うときなど）を実現することができます。「Akamai によって変更管理の自動化が可能になるという事実は、弊社にとって非常に価値のあることです。弊社のチームはセキュリティ制御を確立し、その証拠を共有できるようになります」と Schwan 氏は述べています。

Akamai は、apree のチームがセキュリティ対策の成熟度を高めることに注力できるようにし、安心して将来に向けて前進できるよう後押ししています。「Akamai は、アジャイルで自動化されたセキュリティアーキテクチャを実現するのに必要なテクノロジー、テレメトリー、知見をもたらしています」と Quisenberry 氏は締めくくります。

apree health は、医療体験を再定義し、患者による医療へのアクセスと医療との関わり方、医療機関による医療提供方法、雇用主やその他の購入者による医療費の決済方法を変革する、初のエンドツーエンド・ヘルスケア・ソリューションを構築するというミッションを掲げています。トップクラスのナビゲーションとデータに基づいた知見、最先端の一次医療モデル、価値ベースのリスクモデルを組み合わせて、医療効果を高め、医療を受ける人々の生活をより良くすることで、そのミッションを遂行します。

Akamai はオンラインライフの力となり、守っています。世界の先進企業が Akamai を選び、安全なデジタル体験を構築して提供することで、Akamai は、毎日、世界中の人々の生活、仕事、娯楽をサポートしています。 超分散型のエッジおよびクラウドプラットフォームである Akamai Connected Cloud は、アプリと体験をユーザーに近づけ、脅威を遠ざけます。 Akamai のクラウドコンピューティング、セキュリティ、コンテンツデリバリーの各ソリューションの詳細については、 akamai.com および akamai.com/blogをご覧いただくか、 X（旧 Twitter）、およびLinkedInで Akamai Technologies をフォローしてください。