チャレンジ
クラウドネイティブ化への道のりが終盤に差し掛かる中、ASOSは、自社のように拡張し、クラウドネイティブに対応できるセキュリティパートナーを必要としていました。
Log4jがヒットしたとき、ASOSはLog4jのインスタンスがどこにあるかを即座に特定するクリーンな方法を必要としていました。
ASOSは、Log4jの優先順位付けと修復に必要な可視性、コンテキスト、自動化を必要としていました。
解決
Wizのエージェントレスソリューションにより、ASOSは環境を完全にカバーし、Log4jのすべてのインスタンスを数時間で特定することができました。
Wizは、ASOSが完全なクラウドネイティブ化に向けた取り組みを続ける中で、コンプライアンス監視とセキュリティ強化の取り組みを自動化するために必要な基盤を提供しました。
ASOSは、クラウドセキュリティの信頼できる情報源を作成するために必要なスケールで機能するセキュリティパートナーを見つけました。
クラウドファーストの小売業者としてのASOSのセキュリティジャーニー
ASOSは、英国に本社を置く、世界中のファッション好きな20代が集まる場所です。 デジタルファーストの企業として、クラウドに多額の投資を行っており、完全なクラウドネイティブ化の最終局面にいます。 彼らは主に Azure ユーザーであり、多くの組織と同様に、セキュリティ チームははるかに大規模なエンジニアリング組織をサポートしています。 エンジニアリングチームのスピードとクラウドへの注力に追いつくために、セキュリティチームは、ビジネスのニーズに合わせて拡張できるクラウドネイティブソリューションのみを検討しています。
ASOSのセキュリティチームは、急速に成長するクラウド資産をサポートするチームとして、クラウド環境と潜在的なリスクに関する豊富な情報を拡張し、取得できるソリューションを見つけるよう努めています。 クラウドセキュリティへの取り組みは、ネイティブのクラウドセキュリティツールから始まりましたが、成熟するにつれて、可能性をより包括的に把握するようになりました クラウドの脅威.
Log4jの対応と修復戦略
ASOSの環境とその潜在的な脅威を包括的に把握することの威力は、Log4jがヒットしたときに非常に明確になりました。 彼らがすぐに必要としていたのは、環境内のどこにLog4jがあるかを正確に把握することでした。 Wizのサポートにより、チームは数時間のうちに環境を完全にカバーし、Log4jのインスタンスがある場所を可視化することができました。 Wizのエージェントレススキャンとワークロードに関する深い洞察により、ASOSはVMイメージ、サーバーレス、PaaS、IaaSのどこにLog4jがあるかを迅速かつ正確に特定することができました。
Wizがエージェントレスであることは、私たちにとって非常に重要でした。 当社のインフラストラクチャは常に進化しているため、Wizのエージェントレスソリューションにより、100%のカバレッジを迅速かつ大規模に実現することができました。
また、ASOSはWizの機能を活用して、サードパーティのライブラリに関するインサイトをサポートしました。 これにより、スタックの可視性がさらに高まり、各サードパーティソリューションが環境内で果たす役割を理解し、それぞれが表す潜在的なリスクに優先順位を付け、どのサードパーティソリューションがLog4jに自力で対処しているかを追跡できるようになりました。
コンテキストは、リスクに優先順位を付けるために重要であり、多くのセキュリティツールが苦手としているものです。 何が重要かというベンダーの視点は、必ずしも私たちと同じではありません。 Wizは、環境内の潜在的なリスクをコンテキストビューで示してくれるので、何が重要かに関する知識に基づいて、リスクをよりよく理解し、優先順位を付けることができます。
Log4jのインスタンスを特定すると、次のステップはイシューの優先順位付けと修復でした。 ASOSは、各インスタンスがどこにあるか、環境の他の部分とどのように関連しているかを理解できるように、環境内の各Log4jインスタンスのコンテキストビューを必要としていました。 Wizは、ASOSがこの情報を特定し、修復計画の推奨事項を作成するのをサポートします。 その結果、自社の環境でLog4jを迅速かつ効率的に管理し、リーダーシップチームに報告することができました。
Log4jは、私たちに真にWizの価値を証明してくれました。 Wizを導入すると、すぐに改善のための完全な計画ができ、上級管理職に報告することができました。
Log4jを超える価値の実現
ASOSは、Wizを活用する新しい方法を継続的に模索しています。 Wizは、ASOSにクラウド資産のエンドツーエンドの全体像を提供すると同時に、チームが特定の潜在的なリスクの詳細を掘り下げることを可能にします。 これにより、脆弱性の優先順位付けと修復のための強力な基盤が構築されます。 その価値を拡大し続けるために、ASOSはWizを使用してセキュリティ強化プロセスを自動化する計画を立てています。 彼らは、 シフトレフトして、 エンジニアリングチームが開発パイプラインで修正を依頼できるよう、イシューを監視するためのセキュリティ運用と、可能な繰り返しパターンを特定してパッケージ化するためのセキュリティアシュアランスの間に継続的なフローを作成しています。 Wizは、これらのパターンを識別し、これらのポリシーを作成し、パイプライン全体でそれらの実装を自動化する機能を提供します。
Wizは、使いやすく、セットアップが簡単で、信じられないほど強力なソリューションであり、私たちのベルトの主要なツールセットの1つになりつつあります。 Wizから得られる量と情報は、私たちの焦点を前進させるのに役立ちます。
Log4jを通じてその価値が証明されたWizは、ASOSのs主力のプラットフォームになりました。 自動化からコンプライアンス監視まで、ASOSはますます頻繁にWizにサポートを求めています。 ASOSは、使用するツールの規模とクラウドネイティブなアプローチに関する厳しい要件を持つセキュリティチームのために、クラウドセキュリティの信頼できる情報源を構築するための真のパートナーであるWizを見つけました。