チャレンジ
Bouygues Telecom の環境で 3 つのクラウド サービス プロバイダーの個々のルール セットを管理すると、クラウド チームに複雑さと管理の負荷が加わります。
Bouygues Telecom社内の複数のチーム (セキュリティチームを含む) のアプリケーションやプロジェクトへのアクセスが制限されていたため、クラウドチームにメールで支援を求める必要があり、メンバーの負担が増していました。
Kubernetesとサーバーレステクノロジーの計画的な導入により、新しいサービスの導入を妨げる新しいセキュリティ領域が開かれる可能性があります。
ソリューション
Bouygues Telecomは、Wizに含まれるネイティブコントロールを使用して、実行しているクラウドに関係なく、各ワークロードに同じルールセットを適用します。
Bouygues Telecomは、Wiz RBACを通じて、セキュリティチームとアーキテクチャチーム、プロジェクトマネージャーにアプリケーションアクセスを提供し、クラウドチームのインシデントと脆弱性の修復負荷を軽減します。
Bouygues Telecomは、今後2〜3年以内にアーキテクチャを支配すると予想されるKubernetesとサーバーレス環境を管理するWizの可能性を模索しています。
通信業界におけるイノベーションの推進
コネクティビティはフランス全土の人々や企業にとって極めて重要であり、1998年に同国の電気通信市場が新しい事業者に開放されたことで、利用可能なサービスの範囲と品質が向上しました。 Bouygues Telecomは、新たに競争が激しくなった市場にいち早く参入した通信事業者の1つであり、高品質の音声およびデータ接続を顧客に提供しています。 8,000人近くの従業員を擁する機敏な企業であるBouygues Telecomは、IPTVを市場に投入するなどの成果を上げ、イノベーションで知られています。
マルチクラウド環境の保護
Bouygues Telecom のクラウド エキスパート マネージャーとして、Mael Louvet は、AWS、GCP、Azure を組み込んだマルチクラウド インフラストラクチャと、さまざまなオンプレミス サーバーの構築と運用を担当しています。 10 人のアーキテクトからなる彼のチームは、すべてのクラウド プラットフォームにガバナンス、ガイダンス、セキュリティ アーキテクチャを提供しています。 「私たちは、さまざまなクラウドプラットフォームで作業しているアプリケーションチームや運用チームと、多くのアドバイザリー業務を行っています」とLouvet氏は言います。
「AWS、GCP、Azureなどのクラウドプロバイダーと緊密に連携して、クライアントが新しいネットワーク、テクノロジー、ソーシャルメディアにアクセスできるように支援しています。また、サブスクリプションにプレミアムを適用して、ネットワークの品質向上に投資しています。」
マルチクラウドへの投資の可能性を最大限に引き出すために、Bouygues Telecomはアプリケーションアーキテクチャを進化させてサーバーレステクノロジーを組み込み、Kubernetesオープンソースのコンテナオーケストレーションシステムに移行して、レガシーアプリケーションとサーバーレスアプリケーション全体の標準化を実現しています。 また、幅広いマイクロサービスの管理が複雑なため、Kubernetes内では簡単に管理できないアプリケーションについては、SaaS(Software as a Service)に移行しています。
セキュリティ・バイ・デザインを使用してマルチクラウド環境を保護する
Bouygues Telecomは、マルチクラウド環境を保護するために、セキュリティ・バイ・デザイン手法を適用しています。 このアプローチでは、テクノロジーアーキテクチャのすべてのレイヤーにセキュリティが組み込まれており、各ユーザーまたはシステムは、許可されたタスクを実行するために必要なシステムとデータにのみアクセスします。
Louvet氏のチームがBouygues Telecomプラットフォーム全体のセキュリティを強化するために実施した対策には、次のようなものがあります。
プラットフォームの作成を自動化して、デプロイメントのコントロールを改善します。
自律性を実装して、チームや個人がプラットフォームにデプロイするアプリケーションを管理できるようにします。
Bouygues Telecomの専任サイバーガバナンスチームと緊密に連携して、各ユーザーがクラウド環境にアクセスする前に確認する必要があるセキュリティチェックリストを作成します。
セキュリティツールを使用して、監査対象環境のコントロールを自動化する。
組織全体のセキュリティを合理化
Bouygues Telecomは、当初、別のプロバイダーのクラウド・セキュリティ・ポスチャー・マネジメント (CSPM) 製品を使用していましたが、それが実現できなかったため、Wizに切り替えました。 「これは、セキュリティを私たちが望むレベルに維持するために行った大きな改善の 1 つです」と Louvet 氏は言います。 「私たちが変更したのは、マルチクラウドソリューションを実装しており、AWS、GCP、またはAzure向けに設計されたワークロードを使用するためです。 以前のセキュリティツールでは、クラウドごとにルールを書き直す必要があったため、それぞれのデータとシステムを安全に保つために、3つの特定のルールセットに従う必要がありました。」
また、Wizは、Bouygues Telecomがイシューに関するデータを、より広範な環境内の他のイベント、脆弱性、または問題と関連付けることができるコンテキスト化も提供し、セキュリティアナリストが組織のリスクプロファイルを確認する際の作業を容易にします。 「この機能は私たちにとって非常に興味深いもので、他のソリューションにはないものでした」とLouvet氏は言います。
私たちは、使用するすべての異なるクラウドに同じルールを適用したいと考え、これを実現するためにさまざまなソリューションを試しました。 Wizだけが、ソリューションにネイティブに埋め込まれたこの機能を提供していました。
Wizの実装により、セキュリティの説明責任が他のチームにも拡張されます
Wizの導入により、通信事業者のセキュリティに対する説明責任は、クラウドチームから企業内の他のチームや個人にまで広がっています。 Bouygues Telecomのセキュリティおよびアーキテクチャチームとプロジェクトマネージャーは、管理または保守しているアプリケーションに変更を加え、必要なセキュリティデータを直接取得するためのアクセスと自律性を獲得しています。 「ロールベースのアクセス制御 (RBAC) を通じて、プラットフォームの小さなサブセットに特定のアクセス権を付与できれば、各チームに自律性をもたらすのは非常に簡単です」と Louvet 氏は言います。 「以前は、ごく一部の人にしかグローバルな概要を提供できず、アクセス権を持たない可能性のある他の人は、問題があるかどうかを私たちに確認する必要がありました。」
Wiz のインテグレーションが容易であるため、Bouygues Telecom は IT サービス管理に使用される ServiceNow システムに Wiz を接続できるようになりました。 Wizが登録した各インシデントまたは脆弱性は、ServiceNowでチケットを発行し、関連するチームに送信され、対処されます。 「経営陣は ServiceNow の 1 つの画面から直接 KPI を辿ることができるため、そのシステムを通じてデプロイメントにパッチを適用したり、コンプライアンスを確保したりする必要があるチームにプレッシャーをかけるのは簡単になります。」と Louvet 氏は説明します。 「Wiz が提供する ServiceNow プラグインを使えば、このプロセスは比較的簡単です。」
より広範な シフトレフト戦略の一環として、Bouygues Telecom チームは、開発者がサービスのセキュリティ維持に関与することを望んでいました。 この目標を達成するために、Wiz-cliコマンドラインツールを活用して、デプロイ前にコードをチェックし、2023年初頭に実装を完了する予定です。 「デプロイは各 IT チームにとって常に課題です。私たちは、Infrastructure as Code による継続的インテグレーション - 継続的デリバリー (CI/CD) を使用して各アプリケーションをデプロイすることにしました」と Louvet 氏は述べています。 「私たちは、すべての社内チームにCI/CDツールの使用を制約し、GitLabプロジェクトベースですべてのインフラストラクチャとアプリケーションコードを記述する必要があります。 これが整ったことで、クラウドに資産をデプロイする方法が 1 つしかないため、セキュリティを大幅に強化できます。」
Bouygues Telecomは、 ネットワークとコンテナ全体のエクスポージャーを検出して特定するWizのコンテナセキュリティを現在テスト中です。 導入後、WizはKubernetesのコンテナの小さな要素を含むBouygues Telecomプラットフォームのあらゆる部分をチェックし、セキュリティアラートやセキュリティポリシーへの違反がないかを確かめ、Kubernetesクラスタをスキャンしてネットワークの暴露を検出します。
Kubernetesには多くの小さなブロックがあり、それぞれが新しいセキュリティ侵害になる可能性があります。 そのため、Wizをより小さなレベルで使用し、各デプロイメントがセキュリティルールに準拠していることを確認する必要があります。
Bouygues Telecomのセキュリティ文化と実践を活性化
Wizの導入により、環境を完全にカバーし、可視化するエージェントレスソリューションにより、Bouygues Telecom社内のセキュリティ文化とプラクティスが活性化されました。 この企業は、Wiz のデプロイメントの成功を、エンゲージメントと導入という 2 つの主要な KPI で測定しています。 「Wizの利用を希望する人の数は、非常に急速に増加しています。 昨年、私たちはセキュリティに関するトピックに関するトレーニングのために、セキュリティエキスパートの小さなチームを結成しました」とLouvet氏は述べています。 「今ではその数は50か60にまで増えています。 また、巨大な開発領域の経営層を交えた専用会議を開催しており、そこではWizのダッシュボードを表示しています。 これらが組み合わさることで、私たちのチームは大きな導入と真の成功をもたらしています。」
Bouygues Telecomは、可視性の向上、脆弱性とイシューの修復に対する説明責任の強化、リソースの効率的な配分というメリットを享受しています。 Wizダッシュボードを通じて、企業は複数のクラウドにわたる脆弱性とインシデントのステータスを簡単に確認でき、どのチームや個人がどのイシューに取り組んでいるかを明確に把握できます。 さらに、Wiz Security Graphを使用すると、企業は外部ネットワークにアクセスするさまざまな操作を特定したり、監査のために特定の時点でのネットワークの状態を表示したりできます。
組織は、解決のためにアーキテクチャ全体でイシューと脆弱性を効果的にランク付けできるようになりました。 「私たちの最優先事項は外部暴露であり、重大度、インターネットへの暴露、環境に基づいて、ここでイシューと脆弱性に取り組んでいます。」とLouvetは説明します。 「特に重視しているのは、顧客データが保存される生産環境です。」
Bouygues Telecom のマルチクラウド環境が安全で円滑に運用されるようになったため、組織の親会社である Bouygues Group は、通信会社の業務範囲を拡大して、すべてのビジネスのチームにガイダンスを提供することを検討しています。 この拡大された役割には、インフラストラクチャと関連ツールも含まれる可能性があり、Wiz が Bouygues グループ企業のセキュリティにおいてより広範な役割を担う道を開く可能性があります。
Wiz の導入は非常に成功したため、このツールは、建設、不動産開発、メディア組織など、親会社である Bouygues が所有するすべてのビジネスで使用できます。
