Veracode がスケーラブルな AWS サービスを使用して、ソフトウェアセキュリティプラットフォームを強化

Veracode は、セキュリティ違反のリスクを軽減し、セキュリティチームや開発チームの生産性を向上するためのソフトウェアを作成する、主要なアプリケーションセキュリティパートナーです。同社はプロセスの自動化、統合、スピード、応答性を組み合わせ、お客様が正確な結果を得られるようにサポートすることで、コードのセキュリティ上の欠陥修正に時間を割くのではなく、イノベーションに注力できるようにしています。 Veracode は世界中で何千ものお客様に利用されており、何兆行ものコードを評価し、何千万ものセキュリティ欠陥を修正する手助けをしてきました。

 

2006 年の創業当時は、自社のデータセンターを運営し、サードパーティベンダーを利用してデータベースをホストしていました。会社が成長するにつれ、Veracode は独自の SaaS アーキテクチャの先を見据える必要があることに気付きました。Veracode の製品管理部門シニアディレクター、Tim Jarrett 氏は次のように語っています。「創業当時とは規模が全く異なる世界になっています」。「すべてのソフトウェアにはバグがある可能性があり、その一部はセキュリティの脆弱性となる可能性があります。ソフトウェアの構築方法が変化したため、需要とお客様のスピードに対する期待に応えるには、飛躍的に拡張性を高める必要があるのです」。

 

オンプレミスのインフラストラクチャでは、毎月数千万件ものスキャンを管理することは困難でした。Veracode では、拡張が簡単で、新規のお客様をサポートできるだけでなく、激増するアプリケーションをテストできるインフラストラクチャを必要としていました。2011 年から AWS のサービスを利用している Veracode は、プラットフォーム全体を AWS に移行することを決定しました。「AWS が提供する伸縮性で、必要な規模を実現できると考えました」と Jarrett 氏は言います。2018 年に Veracode と AWS チームは、残りの SaaS インフラストラクチャを 3 つの部分に分けて移行することを計画し、作業を開始しました。まず、サードパーティのデータベースを Amazon Relational Database Service (Amazon RDS) for Oracle に移行することから始めました。これは、クラウドでの Oracle デプロイのセットアップ、運用、スケーリングを簡単に行えるフルマネージドの商用データベースです。これにより、インフラストラクチャの管理ではなく、イノベーションや新しいアプリケーションの構築に時間を使うことができます。

Veracode ビジョンは、開発チームとセキュリティチームを結びつける包括的でオープン、かつ継続的なソフトウェアセキュリティプラットフォームを提供することです。Veracode は、自社のプラットフォームをサポートする最新のアーキテクチャを追求した結果、複数の AWS サービスの利用にたどり着きました。例えば、分析、プラットフォームインサイト、ベンチマークを強化するデータレイクでは、業界をリードするスケーラビリティ、データの可用性、セキュリティ、パフォーマンスを提供するオブジェクトストレージサービスである Amazon Simple Storage Service (Amazon S3) や、サーバーレスのデータ統合サービスである AWS Glue などのサービスを使用しています。AWS では、Veracode が移行の最初の部分を迅速に完了し、10 のサービスと 50～60 のワークフローを 1 晩で移行しました。

 

第 2 段階として、Veracode はヨーロッパ市場への進出を目指しましたが、ヨーロッパ市場ではこれまで、地域外に拠点を置く SaaS ソリューションに対して懐疑的な傾向がありました。そこで、ヨーロッパ市場向けのプラットフォームの専有インスタンスを AWS で立ち上げました。米国連邦政府のお客様をサポートするために、Veracode ではクラウドサービスのセキュリティ評価、承認、および継続的な監視に対する標準アプローチである Federal Risk and Authorization Management Program (FedRAMP) への準拠を目指しています。2022 年に、Veracode は AWS GovCloud (米国) などの AWS リージョンを使用して顧客基盤を拡大する予定です。これにより、政府機関のお客様とそのパートナーは、安全なクラウドソリューションを柔軟に構築できるようになります。

 

同社は、記述的レポートソリューションとして、SQL を使用して構造化データおよび半構造化データを分析する Amazon Redshift を利用しています。データレイクからデータを抽出してバッチ変換すると、Amazon Redshift を使用してレポートが自動的に作成されます。その後この情報にアクセスすることで、セキュリティに関する重要なインサイトをお客様に提供できます。また、フルマネージドのインメモリキャッシュサービスである Amazon ElastiCache を使用してユーザーセッション情報を保存し、カスタマーエクスペリエンスを最適化しています。

 

AWS でアーキテクチャを構築することで、従来のアーキテクチャでは実現できなかった、伸縮性の高いスケール、高いパフォーマンス、柔軟性を実現しています。複雑なコードを書き換えることなく水平方向に拡張できるため、サービスのスピードと品質を向上することができました。「大規模な金融機関から、週末ですべてのコードを調査しバグの可能性がある場所を特定するように求められたとしても、従来のアーキテクチャではそれは不可能でした」と Jarrett 氏は言います。「AWS のサービスは、急速に増加する需要に合わせて規模を拡大し、自社のデータセンターの制約から抜け出すのに役立っています」。

Veracode では、インフラストラクチャをさらに最適化することで、第 3 段階目の移行を継続する予定です。Amazon RDS for Oracle から、クラウド向けに構築された MySQL および PostgreSQL と互換性のあるリレーショナルデータベースである Amazon Aurora にデータを移行しています。Aurora はクラスター化されているため、ほとんどのコードを書き直すことなくデータベースレイヤーをスケールアウトできます。同社は、データ整合性を保ち、中断を最小限に抑えながら、このプロジェクトを完了するための戦略を練っています。Veracode のバイスプレジデント兼チーフアーキテクトである Rob Parrott 氏は、「Aurora は長い間、私たちの脆弱性データベースであり、アーキテクチャの重要な部分を占めてきました」と説明します。「私たちは、リレーショナルデータベース管理システムのニーズを満たすため Aurora を全面的に活用したいと考えています。」

 

このクラウド移行では、最新のインフラに移行しながら本番のワークロードを維持するために、一連の周到な手順が必要でした。Veracode では、強化されたスケーラビリティ、伸縮性、将来の成長に向けたスピードの向上など、重要な効果を実現することができました。今後も、AWS でのイノベーションを継続してソリューションを強化し、新たなトレンドに対応することで、お客様がセキュリティ体制をより深く理解し、リスクを迅速に軽減できるようにしたいと考えています。Jarrett 氏は次のように語っています。「AWS では、通常の運用中や需要が急増したときに、より質の高いサービスをお客様に提供できます」。