Dropbox は AWS セキュリティサービスを階層化し、シグネチャーサービスの保護をスケール

クラウドベースのファイルストレージとスマートワークスペースを提供する企業である Dropbox は、2019 年に電子署名とストレージソリューションである HelloSign を買収しました。HelloSign は急速に成長を遂げ、2021 年には顧客数が 80,000 を超えるに至り、顧客の個人を特定できる情報 (PII) や支払いカード情報のデータ保護の重要性を認識しました。同社は、自社のサービスを安全で可用性が高いものにしたいと考えていました。そのためには、分散型サービス拒否 (DDoS) や他のセキュリティイベントからサービスを保護する必要がありました。

同社はインフラストラクチャのニーズを満たすため既に Amazon Web Services (AWS) を広く利用していましたが、セキュリティ体制の強化に向けて AWS の利用を拡大することを決定しました。HelloSign はわずか 6 か月間で、AWS のスケーラブルでカスタマイズされたセキュリティツール一式を利用してセキュリティをアップグレードし、ベストプラクティスを実装して、デベロッパーが費やす時間を節約しました。こうして、セキュリティの対応にかかる時間を短縮することで、セキュリティイベントが回避されました。

Dropbox は、ワークフローを最適化するためのファイル同期と共有機能を提供するスマートワークスペースです。HelloSign を買収した際、Dropbox は顧客が Dropbox から離れることなく、オンラインで文書を送信、署名、保存できるようになりました。HelloSign は、ウェブアプリケーションのセキュリティを可視化し、保存されている PII データを事前に特定して、追加の管理を行う場所を特定できるようにするなど、セキュリティ体制を強化することを決定しました。

HelloSign は、データをサードパーティーのソリューションにオフロードする必要のない、スケーラブルで堅牢なオプションを求めていました。第三者にオフロードすると、外部企業が PII にアクセスできるようになる可能性があるため、時間のかかるセキュリティレビュープロセスが必要になります。HelloSign は既に AWS のインフラストラクチャを信頼しており、Amazon Simple Storage Service (Amazon S3) を使用して暗号化されたデータを保存しています。Amazon S3 は、どこからでも任意の量のデータを取得できるように構築されたオブジェクトストレージです。HelloSign は、セキュリティサービスを少しずつ採用するのではなく、一連の AWS セキュリティサービスを社内のワークフローにすばやく導入しました。

HelloSign のセキュリティソリューションの最初のレイヤーは Amazon Macie です。これは、機械学習とパターンマッチングを使用して Amazon S3 バケット内の機密データを検出して保護するフルマネージド型のデータセキュリティおよびデータプライバシーサービスです。Amazon Macie は、データを第三者にオフロードすることなく、大規模に機能します。HelloSign は脆弱性管理に Amazon Inspector を使用しています。これは、AWS にデプロイされたアプリケーションの脆弱性を評価し、意図しないネットワークアクセスをチェックすることで、アプリケーションのセキュリティとコンプライアンスを向上させるのに役立っています。HelloSign のシニアセキュリティエンジニアである Kirtika Dommeti 氏は、「パッチ管理のオートメーションプロセスの一部として Amazon Inspector の調査結果を使用し、ソフトウェアとシステムの更新にかかる時間とリソースを大幅に節約しています」と述べています。セキュリティの可視性をさらに高めるため、HelloSign は Amazon GuardDuty を使用しています。これは、AWS のアカウント、ワークロード、および Amazon S3 に保存されたデータを保護するために、悪意のあるアクティビティや不正な動作がないかを継続的にモニタリングする脅威検出サービスです。Amazon GuardDuty のセキュリティ調査結果の根本原因をより深く理解するために、同社は Amazon Detective の評価を行っています。Amazon Detective は、機械学習、統計分析、グラフ理論を使用してリンクされたデータセットを構築し、ユーザーがより迅速かつ効率的なセキュリティ調査を簡単に行えるようにします。

HelloSign の AWS セキュリティ体制を監視および報告するために、同社は AWS Security Hub を使用しています。AWS Security Hub は、すべてのセキュリティ結果を集約し、AWS デプロイ全体でセキュリティのベストプラクティスをチェックしています。セキュリティアラートとセキュリティ体制を包括的に把握できるため、コンプライアンスをサポートするのに役立ちます。例えば、HelloSign は Amazon Macie の機能を活用して PII や支払いカード情報の検出を支援するとともに、AWS Security Hub による包括的なセキュリティ体制のチェックも行っています。これにより、Center for Internet Security のベンチマークや PCI DSS の基準を満たしています。

HelloSign は、独自の処理ロジックのほか、ユーザーがサーバーのプロビジョニングや管理を行わずにコードを実行できるサーバーレスのコンピューティングサービスである AWS Lambda や、規模を問わず 1 桁ミリ秒単位のパフォーマンスを実現する key-value およびドキュメントデータベースである Amazon DynamoDB などのサービスを利用して、調査結果を管理します。その後、HelloSign の社内チームは、会社のチケット発行とインシデント対応のワークフローを通じてあらゆる問題に対処します。

また、同社は、AWS Web Application Firewall (AWS WAF) を利用してウェブアプリケーションのセキュリティイベントに立ち向かっています。これは、可用性に影響を与えたり、セキュリティを危険にさらしたり、過剰なリソースを消費したりする可能性のある一般的なウェブエクスプロイトやボットからウェブアプリケーションや API を保護するのに役立ちます。HelloSign は AWS WAF を利用して、トラフィックが会社のウェブサーバーに到達する前にフィルタリングできます。これにより、わずか 15～30 分でインシデントを緩和し、一般的なセキュリティイベントパターンを積極的にブロックするルールをカスタマイズできます。また、米国の制裁対象地域には地理的または国固有のブロックを適用できます。AWS WAF を使用することで、HelloSign は、本来ならシステムをダウンさせていた可能性のある 12 の DDoS セキュリティイベントやその他のセキュリティ脅威を回避することができました。HelloSign では、AWS で実行されているアプリケーションの保護に役立つマネージド DDoS 防御サービスである AWS Shield Advanced も利用しています。AWS Shield Advanced を使用して保護されているリソースについては、追加費用なしで AWS WAF と AWS Firewall Manager (セキュリティ管理サービス) を利用できます。「今では、インテリジェントな意思決定を行い、どのお客様がどこから来ているかを把握できるようになりました」と Dommeta 氏は言います。

HelloSign は、AWS Single Sign-On (AWS SSO) を使用して認証プロセスをアップグレードしました。これにより、複数の AWS アカウントとビジネスアプリケーションへのアクセスの一元管理が容易になり、ユーザーは割り当てられたすべてのアカウントとアプリケーションに 1 か所からシングルサインオンでアクセスできます。3 か月もかからずにセキュリティ機能を自動化したことで、ワークフローが合理化され、時間のかかるタスクが削減されました。このような取り組みにより全体として効率が向上し、HelloSign は週あたり約 120 時間の作業時間を節約できました。「サービスは直感的なため、すぐに立ち上げて新しいスタッフをトレーニングし、簡単に管理できるようになりました」と Dommeti 氏は言います。

AWS セキュリティサービスの使いやすさと統合のおかげで、HelloSign は業界標準を超えるレベルのセキュリティを実現しています。「AWS を利用することで、セキュリティモデルを成熟させ、手動プロセスを自動化することができました」と、HelloSign のセキュリティ担当ディレクター、Mark Dorsi 氏は言います。「セキュリティ運用、人員配置、ライセンスコストのトリアージ時間で年間約 100 万 USD 相当を節約できました」