チャレンジ
世界120カ国に拠点を置き、M社を通じて成長してきた歴史を持つ&Aonのクラウド環境は、非常に複雑になり、セキュリティ保護が困難になりました。
この組織では、複数のクラウド運用を 1 つのリアルタイムで把握することができず、クラウドのリスクを特定して修復するために 10 個のツールスイートに依存していました。
重要なアクティビティ - リスクの修復、コンプライアンス レポート、M など&統合には、時間とコストがかかり、エラーが発生しやすい手動プロセスが含まれていました。
解決
Aonは現在、世界中のクラウド資産とその機能、脆弱性をリアルタイムで詳細に把握しています。
同社のグローバルクラウド資産は自動的にスキャンされ、リスク修復の推奨事項が生成されます。 多くの場合、開発者はリスクを自分で修正できます。
コンプライアンスレポートも自動生成でき、AonはMに関与する企業のセキュリティ体制を評価します&取引が署名される前と後の活動。
高度に分散されたクラウド環境に対するソリューションの模索
Aonは、世界120カ国以上で事業を展開し、全世界で約50,000人の従業員を擁するグローバルなプロフェッショナルサービス企業です。 ロンドンに本社を置き、リスク管理、保険仲介、再保険仲介、人的資本コンサルティングソリューションなどを中核事業としています。
Aonは、独自のデータと分析を活用してボラティリティを低減し、顧客に可能な限り最高の結果をもたらします。 テクノロジーとセキュリティに対する包括的なアプローチにより、すべてのクラウドプラットフォームで最高のツールとスキルを確保し、開発、成長、リスクの安全な管理を可能にします。
Wizとのパートナーシップ以前にAonが直面していた最大の課題は、同社の複雑な組織構造に関連していました。 長年にわたり、AonはM&A(M&A)活動。 その結果、複雑なクラウドランドスケープ(AWS、Azure、Google Cloudにまたがる)に支えられた高度に分散されたビジネスが実現します。
100か国以上にオフィスと開発チームがあり、それぞれが独自の地域要件、クライアント要件、テクノロジー、さらには異なる言語に対応していました。
Shivendra Singh 氏 (クラウド担当シニア リーダー) & アプリケーションセキュリティのAon氏は、この複雑なクラウドを管理するために、彼のチームには10個以上のセキュリティツールが必要だったと述べています。 つまり、大規模なチーム、維持すべき強力なスキルセット、多くの社内会話、そして日常業務を円滑にするためだけに、かなりの関係者との調整が必要でした。
手動プロセスはリスク修復を著しく損なう
このような状況では、クラウドリスクの修復も非常に困難で、時間とコストがかかりました。 Singh氏のチームは、一連のツールから手作業で結果を抽出し、複数の修復ストリームを実行し、データを手動で正規化し、個々の脆弱性に関するコンテキストを把握し、誤検知を特定し、各リスクの明確な全体像をまとめる必要がありました。
さらに難しいことに、Aonのセキュリティチームはクラウド環境を手動でスキャンすることができませんでした。 代わりに、新しいコードが公開されるたびに通知するためにDevOpsに頼る必要がありました。 このリスクの特定と修復の方法は、完了するまでに数日かかる場合があります。
「プロセスはアドホックで、チームは設定ミスなど、資産発見の観点から見落とすことがよくありました」と、Aonのサイバーセキュリティオペレーション担当バイスプレジデントであるMichelle Pieszko氏は説明します。
Aonのクラウドコンプライアンス要件を満たすために、セキュリティチームは会社のクラウドアカウントを手動でマッピングし、ベンダーが提供するドキュメントを修正してコンプライアンスレポートを作成する必要がありました。
「このプロセスにはライブデータが含まれていなかったため、コンプライアンス演習は通常、完了するとすぐに古くなっていました」とPieszko氏は言います。
複雑さと手作業のプロセスも、Aonの主要な成長方法であるMの抑制要因となっていました&アクティビティ。 場合によっては、新しいビジネスラインを完全に統合するのに何年もかかったこともありました。
急速に加速する開発パイプラインへの対応に苦慮
一方、クラウド移行によりAonのコード開発パイプラインが加速し、セキュリティチームはそのペースに追いつくのに苦労していました。 彼らは、開発パイプラインに自動化されたセキュリティ対策を組み込んだプロアクティブなセキュリティ体制を採用することを切実に必要としていました。
現状はスケーラブルどころか、持続可能ではありませんでした。 Aonの分散クラウドの複雑さは、セキュリティとコンプライアンスのリスクを大幅に増加させており、状況を変える必要がありました。
同社は、クラウド資産全体にわたって単一のリアルタイムビューを提供できる「特効薬」ソリューションを必要としていました。 このソリューションでは、クラウドの脆弱性を特定して修正し、手動プロセスを自動化し、IDやシステムアクセスなどのコンポーネントを管理する必要がありました。
ピエシュコにとって、エウレカの瞬間は、ウィズの行動を見た瞬間に訪れました。
最初の Wiz デモのとき、私はチームに「今私が見ているものの半分を Wiz がやってくれるなら、絶対に必要だ!」と言ったのを覚えています。 これは、すべてのクラウド環境を可視化できる初めてのツールでした。
Wizは、すぐに使える設定のおかげで、Aonのセキュリティチームに全社的な詳細なインサイトを即座に提供しただけでなく、個々の資産の機能と脆弱性に関する共通言語を提供することで、DevOpsとセキュリティの緊密な連携を実現しました。 また、Aonは、Wizが完全にエージェントレスで、システムのダウンタイムを必要とせず、運用パフォーマンスに影響を与えないことも発見しました。
このプラットフォームの価値実現のスピードは、Aonにとってゲームチェンジャーとなり、セキュリティチームがリスクの修復に積極的に取り組むことを可能にし、DevOpsコード制作パイプラインにセキュリティバイデザインを迅速に組み込むことができました。
単一の真実のビューによるコラボレーションの強化
「私にとって際立っていた重要な機能は、セキュリティチームとテクノロジーチームが同じコンソールにログインし、同じデータセットを見ることができ、重要な検出が行われたという議論の余地のない証拠が得られたことです」とPieszko氏は言います。
以前は誤検知が多かったため、Pieszko 氏のチームはアプリケーション所有者に電話で各インシデントのコンテキストについて話し合う必要がありました。
「Wizは基本的にこうした交渉を排除し、迅速な修復を実現します」と彼女は言います。 「Wiz Security Graphは、攻撃経路や資産価値などの重要な洞察を自動的に生成します。 そのため、状況に関係なく、問題に集中し、Wizが提供するリアルタイムデータに基づいて重要な改善策を決定できるようになりました。」
この自動化されたアプローチにより、Aonのテクノロジーチームは、多くのシナリオでリスクを自分たちで修正できるようになりました。 リスクを確認し、なぜそれが重要なのかを理解し、プラットフォームによって生成された一連の推奨手順により、自己修復を行うことができます。 技術チームはWizにログオンする必要すらなく、JiraやServiceNowなどのチケットシステムを介して課題を表示できます。 この新しい修復プロセスを導入したことで、Aonは環境内のリスクを修復する時間を数日から数時間に短縮しました。
AonのCSOであるJoe Martinez氏は、Wizの拡張能力と並外れた価値実現までの時間が競合他社とは一線を画していると述べています。
「Wizのおかげで、すぐに可視化され、クラウドの状況を理解することができました。 クラウド環境で実際にどれだけのワークロード、どれだけのアクティビティ、どれだけのAPIが使われているかがわかり、本当に目を見張るものがありました」と彼は言います。
他の多くのソリューションとは異なり、Wizはエンタープライズレベルに拡張できます。 他のほとんどのセキュリティソリューションは、投資の価値を最大限に引き出すのに数か月から1年かかります。 しかし、Wizのおかげで、私たちの業界ではほとんど前代未聞のことを数週間で達成することができました。
Pieszko氏は、2022年末にグローバルなOpenSSLの脆弱性が特定されたとき、WizがAonの防御の最前線であることが証明されたと述べています。 彼女にとって非常に満足のいくことに、このプラットフォームは、Aonクラウド資産全体のOpenSSLの脆弱性のすべてのインスタンスを迅速に特定し、即座に是正措置を推奨しました。
手作業の自動化とセキュリティチームとコンプライアンスチームの解放
ベンダーのコンプライアンス文書を手作業で収集することも過去のものとなりました。 100以上のコンプライアンスフレームワークが組み込まれたWizは、Aonのクラウド環境を自動的にスキャンし、同社の多数のクラウドアカウント全体でベストプラクティスと規制フレームワークをマッピングし、コンプライアンスのギャップを明らかにし、規制リスクの是正を推奨および自動化します。
「私たちは'Wizのおかげで、コンプライアンス作業の多くを排除し、自動化することができました」とPieszko氏は言います。 「今では、コンソールにログインするだけで、コントロールマッピングと評価データを自動的に受け取ることができます。 サイクルの修復部分のみがチームに残されています。 以前は数時間かかっていたものが、今では数分で完了します。
迅速でシームレスな導入により、セキュリティチームの M への関与も変わりました&アクティビティ。 Aonは、取引が完了する前にWizを買収候補のクラウド環境に展開し、買収のセキュリティ体制に関する信頼できるデータを即座に生成し、必要な修復アクションにフラグを立てることができるようになりました。
「アンケートやスプレッドシートを関係者と共有する必要はもうありません」と Martinez 氏は説明します。 「Wizのおかげで、非常に迅速に統合することができ、買収の可能性についてリスク状況を非常に透過的に理解することができます。」
Aonは、Wizを使用してクラウドリスク管理業務を迅速かつシームレスに変革し、手動プロセスと複雑さを一掃しながら、プロアクティブなセキュリティバイデザイン構造を標準にしました。
「Aonのクラウドへの移行は、私たちがそうしなければ、これほど成功することはなかったでしょう'ウィズがいる」とマルティネスは締めくくった。
クラウドセキュリティプログラムがAonと同じ結果を達成する方法を知りたいですか? Wizを詳しく見る's金融サービス向けクラウドセキュリティソリューション.
