チャレンジ
MercuryGateは、すべての関係者がクラウドリソースのセキュリティに責任を持つ社内の責任共有モデルを構築して、コストを削減し、問題の特定と修正にかかる時間を短縮したいと考えていました。
大規模なクラウド移行をサポートするために、M&A、そして将来の成長のために、MercuryGateは大規模な環境を保護できるクラウドセキュリティプラットフォームを必要としていました。
同社は、ソフトウェア業界全体でサイバーセキュリティ攻撃が増加しているというニュースを目にし、潜在的な脅威に対応するソリューションで将来を見据えたいと考えていました。
解決
MercuryGateは、クラウドセキュリティ監視をWizに統合しました。 ユーザーの最大75%がセキュリティ担当者ではないため、セキュリティは組織全体で共有される責任です。
組織は Wiz を使用して、クラウド環境全体のリスクをスキャンするのにかかる時間を短縮し、M を通じて導入された環境などの追加資産を確認できます&8か月ではなく15分で完了するアクティビティ。
シフトレフトすることで、MercuryGateはWizを使用して新しい脅威をスキャンし、コードを本番環境にデプロイする前に問題を特定し、潜在的なリスクを先取りすることができます。
安全に成長を加速させるための競争
マーキュリーゲート は、20年以上にわたり、ファーストマイルからラストマイルまでの物流でお客様を支援してきたグローバルなスマート輸送プラットフォームです。 現在、同社のサービスには、クレーム管理やコンプライアンスから海洋可視化ツールまで、あらゆるものが含まれています。 MercuryGateは、プラットフォーム上で製品を革新し続けるために、オンプレミスのインフラストラクチャをクラウドに移行することを決定しました。 この取り組みの初期段階では、従来のセキュリティソリューションとサードパーティのセキュリティチームに依存していましたが、フットプリントが拡大するにつれて、可視性と修復速度を向上させるためにセキュリティを社内に導入する必要がありました。
MercuryGateは、大規模な移行フェーズにおいて、大規模なクラウド環境を効果的に保護するためのクラウドセキュリティツールも必要としていました。 「特に私たちの規模の企業では、クラウドのフットプリントが非常に大きいです」と、MercuryGateのCISOであるChad Hicks氏は述べています。 「何千ものEC2インスタンス、コンテナ化されたワークロード、ネイティブデータベースを保護することを考えると、いくつかのユニークな苦労が伴います。」
セキュリティは共同責任であり、ツールベルトに適切なツールを用意することで、セキュリティを民主化してシステムを保護することができます。 レガシーソリューションにより、チームはセキュリティが行き詰まり、シニアリーダーからの信頼を失ったことは非常に悔しいことでした'セキュリティ上の問題を明確に特定または共有するのに役立つツールがなかったため、ツールと考え方を変える必要があることはわかっていました。
持続可能な成長を確実にするために、チームは社内のコラボレーションに重点を置いたセキュリティ プログラムを構築したいと考えていました。 M&Aは同社の成長戦略の大きな部分を占めるため、MercuryGateは、セキュリティ対策について新しいチームメンバーを教育し、協力しながら、新規買収のセキュリティ体制を評価する必要がありました。 「私はセキュリティをF1レースのように考えています。 レーシングチームは、ドライバーができるだけ早くコーナーに進入できるように、ガードレールや安全対策の設置に多くの時間を費やしています」とヒックスは述べています。 「セキュリティにおいても、私たちは同じことを目指しています。 すべてのチームが一丸となって、DevOpsが安全を確保しながら可能な限り迅速に動けるようにしています。」
共有された可視性を使用して組織全体のセキュリティ チームを作成する
クラウドインフラストラクチャを保護し、クラウドセキュリティに関するチームの考え方をオンプレミスソリューションの保護からクラウドにシフトするために、MercuryGateは新しいクラウドセキュリティソリューションの検索を開始しました。 評価プロセスでは、迅速な展開を優先しました。 Wizに関しては、数分でプラットフォームを立ち上げてすぐにスキャンを開始できることに、チームは満足しています。 「Wizの導入には15分かかりました」と、MercuryGateのクラウドエンジニアであるTaryn Lloyd氏は述べています。 「Wizを導入してから、セキュリティの脆弱性を正確に表現できるようになるまでには、ほとんど時間がかかりませんでした」 セキュリティチームはDevOpsと緊密に連携し、新しいソリューションを選択した瞬間からセキュリティの相互所有権を構築しました。
Wizを使用することで、MercuryGateはこれらのチームを緊密に連携させ、脆弱性をより効率的に発見し、調査結果に基づいて迅速に行動できるようにしています。 「他のセキュリティツールでは、何千もの調査結果が吐き出され、何が重要なのかを見失う可能性があります」とHicks氏は述べています。 「Wizが提供するコンテキストにより、影響の大きい修正に迅速に取り組むことができます。」 また、チームがコラボレーションできる共有スペースがあれば、スプレッドシートを使用してデータを追跡したり、リアルタイムでレポートを実行したりする必要がなくなります。
データの共有は、MercuryGateの他のシニアリーダーにも及びます。 「四半期ごとにセキュリティ指標のプレゼンテーションをまとめる必要があり、それに取り組むうちに、'データを集約するためにプラットフォームに次々と足を踏み入れるのは本当に難しいことです」とHicks氏は付け加えました。 「Wiz は、すべてを 1 つの画面に集約し、簡単に共有できるようにします。」
新しい脆弱性が発生した場合、影響を受けるシステムとCVEをWizダッシュボードにリストして簡単に見つけることができます。 各システムがインフラストラクチャ内のどこにあるかを確認し、それをオフショアリソースが作業するためのチケットに変えることができます。
チームはこのコラボレーションスペースを組織全体のユーザーを含むように拡張しました—MercuryGateのWizユーザーの75%はセキュリティチームに所属していません。 Wizを運用や開発などの追加のチームに開放することで、セキュリティプロセスに関与するすべての人が独自のレポートを生成し、独自のプロジェクトに関連する問題を特定し、セキュリティチームがタスクを割り当てることなくそれらを修正できます。 「Wizのおかげで、運用チームを成長させ、パッチ適用にどれだけ積極的に取り組むかについてトレーニングを受けることができました」とLloyd氏は述べています。 「また、シニアリーダーに、私たちの仕事のおかげで、私たちの高いリスクの多くがゼロになっていることを示すことができます。'やり直しです」
複雑なクラウド環境全体を完全に可視化し、60日間でリスクを50%削減
Wizの情報へのアクセスを民主化することで、MercuryGateのチームはより少ないリソースで会社のセキュリティを維持できるようになりました。 かつては専任のクラウドエンジニアが2人必要だったタスクをオフショアチームと簡単に共有して問題を解決できるようになり、社内のチームが新機能の開発に集中できるようになりました。 また、未使用のリソースをスキャンして削除し、プラットフォームを使用してわずか数か月で数万ドルを節約するのにも役立ちました。 その結果、Wizを導入してから60日以内にリスクを50%削減することができました。
コンプライアンスの観点からは、資産管理をWizに統合し、監視を容易にすることができました。 「SOC2 コンプライアンスを Wiz で直接確認できることは、これまで扱っていたスプレッドシートよりもはるかに正確です」と Hicks 氏は述べています。 「今では、すばやく検索し、MDRエージェントで保護されていない可能性のあるリストをシステムから取得し、迅速に展開することができます。 この正確性により、監査人に次のことを伝えることができます。'必要なことはすべてやり直し、リスクを軽減します」
あなたが'M&Aを検討している場合は、'再何かをやっている'はクラウドネイティブではなく、Wizがなければ、導入に6〜8か月かかることがありましたが、今では15分で完了します。
また、MercuryGateのクラウド環境への新規導入も容易になりました。 クラウドネイティブ企業が買収されるたびに、MercuryGateはWizを導入して、15分以内に環境を可視化することができます。 「私たちはフロントエンドで多くのデューデリジェンスを行っていますが、多くの組織は情報とセキュリティ戦略を胸の奥深くに秘めています」とHicks氏は述べています。 「買収後、最初に行うことの 1 つは、Wiz を導入し、今後 30 日から 60 日間のセキュリティ作業のロードマップを作成することです。」
潜在的な脅威に先手を打つ
MercuryGateは現在、WizのIaCスキャンを使用して、本番環境に到達する前に脅威を特定しています。 これは、企業間の可視性と相まって、MercuryGate開発者が新機能の作成にセキュリティを早期に組み込むのに役立っています。
同社は、これらのリソースを使用して、進化する脅威や将来の脅威に先手を打つことを約束します。 「クラウドセキュリティの地平線を見渡すとき、私たちは脅威アクターを追跡する必要があります。 今、そこには'IAMの侵害に大きな焦点が当てられています」とHicks氏は述べています。 「私たちは'Wizは、脅威アクターの次の動きを見つけるための鍵となるため、環境内の問題や設定ミスを確実に検出することができます。」
