チャレンジ
FiverrのセキュリティチームとDevOpsチームは、セキュリティ目標に向けて効果的にコラボレーションすることが難しいと感じていました。
Fiverrは、組織の業務を中断させるのではなく、支援するセキュリティワークフローを確立する必要があることを認識していました。
Fiverrは、セキュリティチームがビジネスの他の関係者に報告するための共通言語を作成する必要がありました。
解決
Fiverrは、明確で測定可能なセキュリティ目標を設定することで、セキュリティニーズを議論するための信頼できる共有言語を確立しました。
Fiverrのセキュリティチームは、WizをDevOpsのプロジェクト管理ツールに接続して、新しいセキュリティの調査結果を送信し、開発者がリスクに優先順位を付けるのを支援しました。
Wizダッシュボードを使用することで、Fiverrのセキュリティチームは最新の情報を簡単に取得し、共同作業者と経営陣の両方と共有できます。
セキュリティを統合して重大な脆弱性を排除
Fiverrは、物理的な商品を購入するのと同じようにデジタルサービスを売買できるようにするために設立され、その推進力となる使命は、世界の仕組みを変えることです。 FiverrのDevSecOpsエンジニアであるIdan Pinto氏が入社したとき、クラウドセキュリティは連帯責任でした。 つまり、製品チームは独自の脆弱性を管理し、PCIコンプライアンスは別のチームによって監視および管理されていました。子会社は自社でリスクを管理していました。 このシステムにより、Fiverrは、特にレガシーサービスや非推奨のツールに関して、関連するリスクの責任者を把握することが困難でした。
このプロセスを組織全体で変更することは長い道のりでしたが、今ではFiverrのセキュリティへの取り組みとクラウドインフラストラクチャがAWSとGCPに統合されています。 これにはFiverrの子会社も含まれるため、チームは会社のセキュリティ体制を完全に制御できます。 同社のすべてのセキュリティ情報をWizやその他のセキュリティツールと接続することで、ビジネス全体の重大な脆弱性が表面化しました。
セキュリティ管理を統合したFiverrのセキュリティチームは、組織全体の脆弱性の発見と修正に着手しました。 この情報は、DevOps チームの既存の作業ライフサイクルにセキュリティ監視と検出プロセスを組み込むことで、チームが修復作業を運用できるようにするのに役立ちました。 「私たちの次の段階は、すべての調査を経営陣と共有し、その情報を作業方法を変えることなく日常のDevOpsワークフローに導入することでした」とPinto氏は述べています。 毎週の会議で協力し、セキュリティ管理ツールを統合することで、最も優先度の高いリスクに対処し、重大な脆弱性をゼロにすることができました。
脆弱性管理プロセスは、他のツールとWizを組み合わせることで統合されました。 今では、すべての調査結果を集約し、適切な所有者に迅速に通知できます。
Wizを使用して組織全体の信頼を構築し、共有セキュリティ言語を作成する
ビジネス全体の変革を実施する際の最大の課題の 1 つは、なぜそれがそれほど重要なのかを人々に理解してもらうことです。 「私たちは、セキュリティが組織にとって無力化要因ではなく、実現要因であることをビジネスパートナーに示す必要がありました」とPinto氏は述べています。 このプロセスでは、Fiverrの既存のクラウドインフラストラクチャと、セキュリティチームが望んでいたバージョン(わずか6か月でクリティカルがゼロのシステム)を比較するために、関係者と数か月にわたってミーティングを行いました。
セキュリティチームは、Wizを使用して組織に影響を与えるリスクを紹介し、それらのリスクに対処しなかった場合に会社にかかる可能性のあるコストを他のチームに通知しました。 毎週のミーティングで、セキュリティチームはFiverrが許容できるリスクと緊急に対処する必要があるリスクを特定することができました。 「私たちのアプローチは、DevOpsパートナーとの信頼関係を築くことでした」とPinto氏は言います。 「Wizを使えば、多くを語る必要がなくなります。 彼らは私たちが見ているものを正確に見て理解できるので、私たちは同じページにいることができます。」
Wizは共通の言語を提供してくれるので、毎週のミーティングでDevOpsチームとコラボレーションすることができ、問題に対してどのような手順を踏む必要があるかを全員が完全に理解することができます。 それは修復かもしれません。 それは、ある種のリスクを受け入れているのかもしれません。 大事なのは、それについて話す能力があるということです。
セキュリティとDevOpsは、これらの会議から協力して、他の重要な開発プロジェクトを中断することなくリスクを見つけて修正するための自動化されたワークフローを作成しました。 WizをFiverrのプロジェクト管理ツールやコミュニケーションツール(Monday.com、JIRA、Slack)に接続することで、脆弱性を発見し、1か所に集約できるようになりました。 セキュリティチームが結果を確認すると、チケットが自動的に開かれます。 「当社のDevOpsチームは、最も重要な問題の部分的な所有者です」とPinto氏は述べています。 「当社のプラットフォームをWizに接続することで、JIRAまたはMondayのチケットを自動的に作成し、チームが確実に確認できるため、脆弱性に迅速に対処できます。」
新しい発見が各開発スプリントに送られると、Fiverrは潜在的なリスクが発見されたときにそれに対応でき、修正作業は日常のDevOpsタスクと直接統合されます。 その後、セキュリティチームはWizからデータを簡単にエクスポートし、毎週のミーティングでDevOpsリーダーに進捗状況を報告できるため、チームはイテレーションを継続できます。 「セキュリティ体制の改善に向けた対策を講じることは、チームワークの賜物です」とPinto氏は付け加えました。 「私たちが成し遂げたこと、そして他に達成できることを全員に説明できることは、人々が私のアジェンダを理解し、インフラストラクチャを安全に保つのに役立ちます。」
Fiverrは「ゼロクリティカル」を達成し、機能開発を加速します
Fiverrのセキュリティ成功の鍵は、チームの関係改善に注力していることです。 セキュリティとDevOpsは、効率的にコミュニケーションを取り、各チームが同じ目標に向かって取り組んでいることを信頼することができます。 「私たちはチームとWizとの信頼関係を築きました」とPinto氏は言います。 「Wizチームのサポートと対応力にとても満足しています。全員でシステムを設計し、アーキテクチャ設計を大幅に変更した結果、今ではクリティカルはゼロになりました。」
また、Wizは、スクリプトベースのスキャンからAPIに移行することで、DevOpsチームが時間を節約するのにも役立ちます。 追加のリソースなしでチーム間で情報を表示および共有できることで、重要な洞察に基づいて共同作業で迅速に行動するための新しい方法が開かれます。 「エンジニアリングの時間を節約でき、有用な情報をすぐにエクスポートできるのがわかりました」と Pinto 氏は述べています。 「これは、チームが新機能の開発に集中できることを意味します。」 新機能をワークフローに統合し続け、GitHubなどのプラットフォームを追加してプロジェクトオーナーをより明確に特定することで、チームはより迅速に成長し、セキュリティ体制をさらに強化することができます。
通常、セキュリティチームにとって最も難しいのは、すべての調査結果を取り上げて、焦点を当てるべき適切なものを選択することです。 Wizは、インフラストラクチャの最も重要な脆弱性を発見し、最も大きな影響を与える問題を確実に解決する機能を提供します。
Fiverrはさらなる自動化に注力
Fiverrは、成長するツールキットとより協力的なチームにより、重大な脆弱性をゼロにするというセキュリティチームの目標を達成しましたが、クラウドセキュリティへの取り組みはそうではありません'そこで止まります。 組織は、優先度の高い問題が発生したときに引き続き排除することに着手するため、組織のコードのランタイムと脆弱性に焦点を当てる新しい機会を見出しています。 これには、組織の CI/CD パイプライン全体のスキャンと修復が含まれます。 「ここまでたどり着くには、何ヶ月にもわたる変更管理とチームワークが必要でしたが、今では全員が同じ目標に向かって協力し合っています。これは全員にとっての勝利です」と Pinto 氏は述べています。
