Honey Baked Ham が中断のないアプリ保護を実現

米国の大手食品製造小売企業である Honey Baked Ham Company は、1957 年から全米の家庭に質の高い商品を提供しています。Honey Baked Ham では、顧客の機微な情報にアクセスする 45 の重要なアプリケーションについて、セキュリティ対策の改善が必要でした。同社は、これらのシステムへの不正アクセスを防止するとともに、潜在的な不正インシデントの影響を最小限に抑えるために事前対応型の措置を講じたいと考えていました。また、新しい保護対策によって主要なビジネスワークフローが中断しないようにすることも重要でした。 

PCI-DSS コンプライアンス 

Honey Baked Ham は、PCI-DSS コンプライアンスの対象であり、カード所有者のデータを保存、処理、または転送する特定資産を隔離することが義務付けられています。同社は、不正行為者の ラテラルムーブメント（横方向の移動） を防ぐことにより、コンプライアンスを確保して、リスクレベルを低減し、たとえ侵害されてもブランドの評価を保護できるようなセグメンテーションアプローチを必要としていました。 

環境要因 

同社は、ベアメタル・サーバー・クラスタと VMware 仮想マシンの両方にアプリケーションサーバーと SQL データベースが混在する環境を保護する必要がありました。従来の方法でこのような異種混在環境内の個々のアプリケーションを分離するためには、新しいファイアウォールアプライアンスへの多額の投資が必要となり、作業期間も数か月にわたります。 

ファイアウォールの問題点 

同社は当初、レガシーファイアウォールを使用したセグメンテーションを試みました。しかし残念ながら、レガシーファイアウォールは、サーバーとアプリケーション間の通信フローなど、環境内のアクティビティに関する可視性と知見の面で要件を満たすことができませんでした。 

Honey Baked Ham Company のセキュリティチームでシニア・インフラ・エンジニアを務める David E. Stennett 氏は次のように述べています。「従来のツールではセグメンテーションは非常に困難です。多様なセグメントへの分割対象をどのように整理すればよいのでしょうか。何をする必要があるのか、何が何と通信しているのか、他のものが通信を必要とした場合はどうすればよいのか、まったくわかりませんでした」。 

また、ファイアウォールでは、Honey Baked Ham が必要とする適切なセキュリティ制御や細かいセグメンテーションも提供されません。さらに、同社は不正なアクティビティを阻止するための脅威検知機能と対応機能を備えたソリューションを求めていましたが、これもレガシーファイアウォールが提供する機能範囲を超えていました。 

コストと時間の損失 

同社がアプローチを変えたもう 1 つの大きな要因は、レガシーファイアウォールが高価で、実装に多大なダウンタイムを要する点です。さらに、実装プロセスではフルタイムの人材 3 人を消費することになります。

「従来のファイアウォールを使用すると法外なコストがかかり、所要期間も会社が私たちに求めるレベルを超えてしまいます」と Stennett 氏は述べています。実際、アプリケーションのセキュリティを確保する同社の取り組みは、総額 100 万ドルの価格、2 年間のスケジュール、ダウンタイムなど、どうにもならない要件によって完全に行き詰まっていました。 

マイクロセグメンテーションが窮地を救う 

パートナーである InterDev が、物理セグメンテーションの代替として、Honey Baked Ham にマイクロセグメンテーションを紹介しました。 

Honey Baked Ham は、オンプレミスとクラウドの両方に Akamai Guardicore Segmentation ソフトウェアエージェントを導入しました。Akamai Guardicore Segmentation が提供するきめ細かい可視性とアプリケーション依存関係マッピングにより、Honey Baked Ham はアプリケーションが他の IT 資産とどのように通信しているかをプロセスレベルですぐに把握できるようになりました。さらに同社のチームはこのデータを使用してアプリケーションの依存関係をマッピングし、同社の最も機密性の高いアプリケーションの周囲にソフトウェア定義の境界を作成しました。 

Stennett 氏は次のように述べています。「真の可視性を得て、実際に誰がどのアプリケーションやサーバーに接続しているのか確認できます。セグメンテーションがより効果的かつ制御しやすくなり、コストも軽減されます。頭を悩ますことはありません」。 

大幅なコスト削減 

Honey Baked Ham は、ファイアウォールアプライアンスの新規購入をやめて Akamai Guardicore Segmentation を使用したことで初期費用を 50% も削減でき、大いに満足しています。Honey Baked Ham の推定では、レガシー・ファイアウォール・アプライアンスの代わりにソフトウェアベースのセグメンテーションを使用することで、同社のアプリケーションセキュリティ計画の総コストは 100 万ドル強から 16 万ドル未満へと 85% 削減されました。 

使いやすさ 

ソフトウェアベースのセグメンテーションアプローチはシンプルであるため、たった 1 人のセキュリティアーキテクトがわずか 6 週間でセグメンテーションプロジェクト全体を完了させ、アプリケーションのダウンタイムも発生しませんでした。2 年かかると推定されていたファイアウォールアプローチとは大きな違いです。 

Akamai Guardicore Segmentation はハードウェアを必要とせず、基盤となるインフラから独立しているため、管理も簡単です。Honey Baked Ham はオンプレミスだけでなくすべての環境を横断するポリシーを簡単に作成し、展開しました。Stennett 氏は次のように話します。「Akamai Guardicore Segmentation を使用すれば、すべてのトラフィックを 1 か所で確認できます。ルールもです。すべてを 1 か所で管理できるのです」。 

大幅な時間の節約 

「Akamai Guardicore Segmentation のおかげで、45 のアプリケーションのセキュリティをわずか 6 週間で中断なく確保できただけでなく、従来のファイアウォールプロバイダーよりも俊敏でコスト効果が高くセキュアなソリューションを手に入れることができました」と Stennett 氏は話します。結局、Honey Baked Ham は、システムのダウンタイムもインフラの変更もビジネスの中断もなく、実装スケジュールを 15 倍以上加速できました。