チャレンジ
eSureは、顧客情報の保護が最優先される規制の厳しい業界で事業を展開しています。
eSureは、複雑なマルチクラウド環境を包括的に可視化することができませんでした。
導入サイクルが加速したことで、esureのチームはセキュリティ監視を維持することが難しくなっていました。
解決
esureは、組み込みのWizフレームワークとレポートのおかげで、コンプライアンス基準に照らして簡単に測定できます。
esureセキュリティチームは、マルチクラウド環境全体を一貫して可視化し、すべてのクラウドのリスクを明確に把握しています。
esure は Wiz を使用してリスクに優先順位を付けることができ、迅速な修復が可能になり、開発者は最も重要なリスクに集中できます。
クラウドへの切り替えとセキュリティの維持
英国の保険市場のイノベーター、 esure(エシュア) 自動車保険と住宅保険のオンライン購入のパイオニア。 セキュリティはデジタルトランスフォーメーションの最前線にあり、esureは市場を破壊し続け、顧客中心のプラットフォームで新製品を提供してきました。 同社の戦略は、設計によって安全を確保し、開発のあらゆる段階でセキュリティを組み込むことです。
レガシーテクノロジーを廃止し、クラウドに移行することで、esureは新たな機会を開きましたが、新たなリスクにも直面しました。 同社のセキュリティチームは、マルチクラウドや複雑な環境に対する可視性が限られており、リスクの優先順位付けが明確ではありませんでした。 また、Esureの既存のソリューションでは、常にアラートと誤検知が発生していたため、どれが最も差し迫ったものかを特定するのが困難でした。 これは、実際のリスクではないアラートのトリアージに時間を浪費していたことを意味します。
オンプレミス環境からクラウド環境への最大の変化は、保護する必要がある攻撃ベクトルの量が非常に多いことです。
esureのDevSecOpsエンジニアである柴田健一氏にとって、大きな問題は、何十万もの脆弱性に優先順位を付け、その上にレポートを構築して、エグゼクティブがリスクのレベルを確認できるようにする方法です。 「脆弱性の海の中で、私たちはどの脆弱性に目を向けるべきでしょうか?」と柴田氏は言います。
また、esureの導入ライフサイクルも毎月1回から1週間に1回になり、1日になりつつあり、セキュリティメンテナンスの課題はさらに大きくなっています。 チームは、セキュリティを損なうことなく、この迅速な展開を確実にサポートする必要がありました。 計画段階と展開段階の間に自動化を構築することで、esureはセキュリティリスクを早期に特定することができました。
大規模で複雑な環境とクラウドの成熟が進む中、これはますます重要な優先事項になっていました。 Wizは、リスクの優先順位付けに重点を置き、従来のCSPMツールを超えて拡張するCNAPPプラットフォームの一元化された機能により、esureに最も適していると特定されました。 DSPMの, CIEM(シーエム)、GitHub リポジトリでの攻撃パス分析とシークレット スキャン。
可視性の向上により、より迅速な修復が可能に
esureは、Grafanaで独自の統合主要リスク指標ダッシュボードを使用して、クラウド資産全体のリスクを可視化し、重大度のエグゼクティブレベルのビューを提供します。 Wizは、esureの開発者が使用していた既存のプロセスやワークフローと簡単に統合でき、まったく新しいツールに適応する必要がありませんでした。
WizのデータをGrafanaダッシュボードにプッシュすることで、esureはさまざまなデータポイントを含む「セキュリティの単一画面」を確立し、開発者がトリアージしやすくなり、経営陣が修復に優先順位を付けることが容易になりました。
すべてのクラウド環境を可視化してリスクを測定し、そのリスクを優先事項に変換するためのツールを導入する必要がありました。 私たちはWizでそれを見つけました。
これはすでに内部報告に役立っており、Wiz Security Graphにより、クエリを会社の幹部と簡単に共有できます。 より深い情報が必要な場合、esureのセキュリティチームは、開発者にWizへのセルフサービスアクセスを提供し、攻撃経路と修復に関する完全なコンテキストを取得します。
「Wizを導入してからは、すべてのチームに幅広いリーチを提供できるようになり、クラウドプラットフォーム全体の可視性が向上しました」と、esureのCISOであるRichard Frost氏は述べています。 「これにより、一部のリスクを修復する時間を短縮することができました。'10000000000000000
この可視性の向上により、esureは環境内の重大なリスクをプロアクティブに排除し、クラウドの攻撃対象領域を減らすための措置を講じることができるようになりました。 その結果、チームは、適切な問題が適切なタイミングで修正されているという自信を持てるようになりました。 また、何千ものアラートをふるいにかける必要がなくなったため、生産性も向上しました。
コンプライアンスは、環境全体での追跡と保守が容易です
保険などの規制の厳しい業界では、コンプライアンスを維持することが重要です。 Wizを導入する前、esureはコンプライアンスレポートの多くが手作業であったため、クラウドではコンプライアンスフレームワークが課題であると感じていました。
esureは現在、Wizに組み込まれているコンプライアンスフレームワークとCISベンチマークを使用して、環境全体のコンプライアンスを評価し、コンプライアンス体制を監査チームに簡単に報告しています。 Wizが生成する継続的な評価と自動レポートにより、同社はさまざまなアカウントとサブスクリプションのコンプライアンスフレームワークとの比較を迅速に確認できます。
Wizを導入する前は、クラウドのコンプライアンスフレームワークに対してレポートを作成するのは困難で手作業のプロセスでした。 Wizのようなツールを使用すると、esureは、さまざまなアカウントとサブスクリプションのコンプライアンスフレームワークとの比較を非常に迅速に確認できます。
コンプライアンスレポートは、Wizのポータルから作成およびダウンロードされる四半期ごとのレポートで標準化されるようになりました。
また、esureはWizのデータポスチャーセキュリティ管理(DSPM)を使用して、すべてのクラウドプラットフォームの機密情報を完全に把握しています。 同社はまた、esureのすべてのクラウドリソースを完全に把握できるWizの能力を高く評価しています。 「たとえば、CrowdStrikeはエフェメラルでないすべてのインスタンスに搭載されていますか? 何'私たちのサポート終了ソフトウェアはどのようなものですか? そして、アラートを設定します。 エッジに関するその他の機能はすべて、本当に便利です。」
Wizは、セキュリティチームに将来を見据える自信を与えます
Wizが単一のプラットフォームで提供する幅広い機能により、継続的な調達のプレッシャーが軽減され、脆弱性のみに注意が向けられました。 これは、サイバー攻撃が増加している現在、チームにとって不可欠です。 ランサムウェアギャング.
Esure氏のチームは、このようなギャングの戦術をより深く掘り下げ、安全な環境を侵害する方法や、攻撃を防ぐためにどのような制御を実装できるかを理解しています。 「私たちは、問題に反応するのではなく、未来を見据えています」と柴田氏は言います。 「私たちは、侵害に対応するだけでなく、侵害を予測しています。 大きな自信になりました」
Wizとの仕事は、チームとして非常に協力的です。 数週間で立ち上げて稼働できたのは驚くべきことでした。
これまでのところ、Wizのソリューションはesureのセキュリティ運用チームとアーキテクチャチームで使用されており、Wizが実施した「キャプチャー・ザ・フラッグ」演習では、チーム間の作業をサポートし、会社全体でのWizテクノロジーの採用を促進しています。 次の段階は、esureのセキュリティオペレーションセンター(SOC)チームをオンボーディングし、セキュリティに関する包括的な取り組みにより、ビジネスの成長と新製品の開発に専念することです。
「セキュリティジャーニーの次のステップは、どんどん改善し、継続的に改善することです」とFrost氏は言います。 「Wizは、当社のクラウド上でのジャーニーの基盤となっています」
クラウドセキュリティプログラムがesureと同じ結果を達成する方法を知りたいですか? Wizを詳しく見る's金融サービス向けクラウドセキュリティソリューション.
