Carousell

Cloudflare Zero TrustでCarousellの社内ネットワークを保護し、シームレスなリモートワーカーアクセスを提供

2012年、Quek Siu Rui氏、Lucas Ngoo氏、Marcus Tan氏は、チャットするのと同じくらい簡単に商品を購入し、写真を撮るのと同じくらいシンプルに商品を販売できるスマートフォンおよびWebベースのマーケットプレイスを作ろうと思い立ちました。このアイデアは、Carousellとして結実します。

Today, Carousell is one of Asia's largest C2C ecommerce marketplaces. They are one of the top lifestyle shopping apps in Singapore, Hong Kong, and Taiwan, and have a rapidly growing presence across Indonesia, Malaysia, Australia, and the Philippines. Carousell users turn to the site to buy cars, property, fashion, household appliances, assistive devices, and electronics. The site also hosts job listings and offers services across a continually expanding range of industries.

現在、シンガポールで人口の1/4以上の人々がCarousellを使用しています。今後もシンガポールと国外のユーザーが本サイトを利用するにつれ、この数字はますます増えていくことでしょう。

Cloudflare WAFとグローバルクラウドネットワーク — 2016年よりパートナーシップを継続中

2016年、Carousell社は1か月あたり1 PBを超える画像をホストするためにCloudflareを採用し、お客様に快適なユーザーエクスペリエンスを提供してきました。トラフィックの増大に合わせ、CloudflareではCarousellが集中的なパフォーマンス要件を満たし、同社の実施する定期的なフラッシュセールなどのトラフィックの増大が見込まれるイベントの間、確実に稼働できるようにしました。Carousellでは、Cloudflareを介して必要に応じてダイナミックページをキャッシュすることで、通常のトラフィックの3倍を超えるような急増も無理なくさばくことができます。これは、競合のCDNプロバイダーが同等のデータボリュームに対応するには、より高額なコストでしか対応できないレベルのパフォーマンスです。

Carousell GroupのDevOps、SR（サイトの信頼性）、プラットフォーム、サイバーセキュリティエンジニアリング担当ディレクター、Sanjeev Jaiswal氏は、「当社がCloudflareを利用するようになったのは、DNSとSSLターミネーションに必要なソリューションからでした。その後、Cloudflare Cacheを試し、別のCDNから自社のアセットを移動することにしました。現在では100%キャッシュされています。当社のCDN、WAF、キャッシング、SSLエンドポイント、DNSの要件はすべて、Cloudflareのグローバルエッジネットワークで処理されています。Cloudflareのお陰で、当社のビジネス指標を満たし、設備投資に見合う優れた結果を得ることができます」と述べています。

In addition to speeding up and scaling the platform, Cloudflare protects Carousell against volumetric security threats like DDoS attacks and resource-draining bots, as well as malicious activity like cross-site scripting (XSS). The Cloudflare Web Application Firewall (WAF) leverages collective threat intelligence to identify and prevent malicious requests, empowering Carousell to proactively defend against incoming attacks and ensure application availability.

“The Cloudflare WAF ticks all of our boxes with OWASP (Open Web Application Security Project) and Cloudflare specialized rules. We can also easily add custom rules, making Cloudflare a perfect fit for our needs,” recalls Jaiswal. “After turning on the firewall features, there was no measurable hit on latency. Cloudflare security features don’t impact our overall site performance, and our user experience doesn’t degrade as we put more checks in place. That is one of the biggest ongoing benefits we see using Cloudflare.”

Cloudflare Zero Trustで従業員のセキュリティにまつわる課題を解決

Since 2019, Carousell has progressively embraced remote work to navigate the COVID-19 pandemic and to support an increasing international employee and contractor workforce. In light of these fundamental changes, Carousell began a strategic reexamination of its own organizational security. This meant a renewed focus on protecting internal infrastructure while providing secure employee access to corporate applications.

Jaiswal氏は「今回、すべてを一から見直しています。これまでより幅広い人材のセキュリティチームを立ち上げ、新しいセキュリティポリシーを策定するために外部の監査員とも連携しています。また、セキュリティ研究者やホワイトハッカーとともに、バグバウンティプログラムへも参加しています。当社の目標は、これらの取り組みから結果を導き出し、サイトの機能強化、Carousellのインフラストラクチャおよびアプリケーションへのアクセス改善を実現し、その一方で、ID管理や特権管理へのアプローチの仕方を調整することです」と述べています。

同社はCloudflareを導入する前に、Zero Trustネットワークアクセス（ZTNA）のカテゴリーにいち早く参入した競合企業を評価しました。しかし、そのベンターの製品は、導入面でもエンドユーザーの使い勝手の面でも複雑さがネックとなり、導入に至りませんでした。

「Carousellには、セキュリティやアクセスの容易さという点で優れたアーキテクチャがありませんでした。非常に煩雑なものだったため、こんな複雑さはもう御免だと考えていたのです。検討したもう1つのソリューションは、実装があまりにも複雑でした。1台のマシンへの簡単なSSHアクセスにすら複数のコマンドラインパラメータが必要だったのです。それに比べ、CloudflareのZero Trustソリューションは実装が簡単で、実に明確に定義されていました」と、Jaiswal氏は述べています。

Carousell implemented Cloudflare Zero Trust to safeguard access to its internal applications, websites, and domains across cloud and on-premise environments. The solution eliminated the company’s concerns about using riskier alternative access methods, such as IP- and geolocation-based controls or catch-all passwords.

CarousellはCloudflareを採用したことで、優先するIDプロバイダーによる検証に基づいてアプリケーションのアクセスを付与できるようになりました。また、管理者はアプリごとに、ユーザーのロールとグループメンバーシップに基づいて、一層強固なセキュリティポリシーを構築できるようになりました。Carousellはこのプロセスの中で、唯一のアクセスポイントとしての従来型VPNを廃止し、アクセスイベントごとに可視化できるようになりました。

CarousellではCloudflare Zero Trustの利用開始からすぐにそのメリットを実感しました。従業員のアプリケーションでの認証と、アクセスを設定するセキュリティチームの両方で、時間を削減し、効率を上げることができたのです。

Jaiswal氏は「Cloudflareのおかげで、開発者のリモート接続が合理化され、生産性も上がりました。VPNプロファイルをダウンロードし、アクセスを設定し、接続する必要のあるリソースを見つける代わりに、Zero Trustソリューションにより事前定義されたルーティングを持つ設定しやすい1つのエージェントを利用できます。これはとてもシンプルで、本番環境やそれ以外のリソースにシームレスに接続できます。これだけで、毎月ユーザーごとに15分の時間を削減しています」と述べています。

同氏はさらに、「SREチームだけで見ると、削減された時間はさらに増えます。別々の本番環境のために、信頼できない複数のVPNトンネルで問題をトラブルシューティングしたり、環境を利用できるように苦労したりする必要はありません。Cloudflareで何時間分もの手間と煩わしさを排除し、より大きなプロジェクトや取り組みに集中する時間ができました」と述べています。

CarousellではZero Trustネットワークアクセスを導入したことで、社内のセキュリティポリシーの保守に費やしていた時間も減らすことができました。一元的管理とはユーザーのロールの作成と保守が容易で、承認はスタッフが離職するのに応じて簡単に取り消すことができます。

Jaiswal氏は「Cloudflareではユーザーの資格情報をロールに結び付けるので、従業員が離職した場合、SREチームが行う、アカウントを無効にして削除し、ファイアウォールのアクセスを禁止するといった一連の作業は実に簡単です。1つの管理ポイントを持つことで、作業が飛躍的にシンプルになるのです」と語ります。

Carousellではまず、500人分のZero Trustライセンスで利用を開始しました。現在はビジネスユニット全体で、技術部門と非技術部門のユーザー、合計800～1000人に拡大する方向で検討しています。

Carousell SREチームはまた、Cloudflare レート制限と既存のクラウドインフラストラクチャを統合する方法についても検討しています。現在、競合製品とほぼ同じ機能を持つものの、コスト的には最大1/5になる製品に置き換えようとしています。

Jaiswal氏はそれまでCloudflareのソリューションを使用したことはありませんでした。ただ、そうしたソリューションと同等のサービスがあるという触れ込みの他社製品を数多く見てきた経験から、Cloudflare製品の使いやすさと継続的なカスタマーサポートに大変驚いたといいます。

同氏は「Cloudflareの分かりやすいオンボーディング用チュートリアルとトレーニング教材をもとに、独自の社内向け動画を組み合わせて学習曲線を高めることができました。特に触れておきたいのは、Cloudflareのアカウントチームとの密なコミュニケーションです。問い合わせへの対応から問題の解決、未来のロードマップ発表の提供にいたるまで、サポートが充実しています」と強調します。

Jaiswal氏は、「Cloudflareは複雑なZero Trustセキュリティソリューションを使いやすく、信頼できる形で効率的に提供してくれます。低コストで設定要らず、さらには既存のクラウド環境およびインフラストラクチャとシームレスに統合できます」と述べています。