チャレンジ規制の厳しい業界で事業を展開している Monese は、AWS 環境を完全に可視化する必要がありました。
Monese社は、セキュリティチームがセキュリティタスクに優先順位を付け、業界のベストプラクティスに照らして設定ミスを可視化できるソリューションを必要としていました。
Moneseは、組織内のさまざまなチームに包括的なセキュリティ体制情報を提供できるエージェントレスツールを探していました。これにより、セキュリティチームだけに頼る必要がなくなります。
解決Monese は AWS 環境の全体像を把握し、セキュリティチームが脆弱性を見つけ、その正確な場所を特定し、担当のビジネスオーナーに割り当てることを可能にしました。
Monese 氏の小規模なセキュリティチームは、Wiz プラットフォームの助けを借りて脆弱性を特定して追跡することで、タスクを効果的に管理することができました。
Moneseは、開発者や製品リードを含む幅広いユーザーがこのプラットフォームを使用してリスクを理解し、リスクを軽減し、リスクを事前に軽減することで、より協調的なセキュリティ文化を作り出すことができました。
複数のチーム向けのツールで完全な可視性を求めるMoneseは、欧州経済領域内の一部の通貨国でモバイル専用口座を提供するデジタル小売金融サービス会社です。 クラウドネイティブ企業として、Moneseは強力なセキュリティ対策に取り組んでいます。'業務の運営に支障をきたす場合 MoneseのCISOであるAneel Sandhu氏は、「当社のセキュリティ戦略は毎年更新されています」と述べています。 4つの柱があります。 その重要な柱の1つは、スピード感のあるセキュリティを確保する能力です。 それ以外は、'より伝統的なこと、例えばそこに'すべてのレベルの人々に対する透明性。それ'開発者やプロダクトリードとして働いている人、さらには取締役会からも。 そして、私たちが'私たちまたは私たちのクライアントに適用されるあらゆる規制に準拠しています。」
MoneseはAWS環境の完全な可視性を欠いており、セキュリティチームの規模が小さく、組織のペースが速いため、特に懸念事項となっていました。 以前のツールでは、チームは脆弱性に関するコンテキストを欠いていることが多く、セキュリティニーズに効果的に優先順位を付けることができませんでした。 Sandhu 氏は、「同社は複雑なクラウド環境を持っているため、常に可視性を主な課題としてきました」と振り返ります。 セキュリティ業務を委任する必要に迫られた Monese は、さまざまなチームのメンバーに必要なリスク情報を提供できるツールを探していました。
さらに、Moneseは規制の厳しい業界と地域で事業を展開しているため、コンプライアンス、特にヨーロッパ全体の27001(情報セキュリティ)コンプライアンスと規制は、その事業の重要な側面となっています。 Monese社は、規制コンプライアンスを達成し、顧客に対する透明性を高め、ビジネスを強化できるソリューションを必要としていました。 Sandhuは、Moneseのセキュリティプログラムの主要な柱は、会社がすべての管轄区域で同社またはそのクライアントに適用される関連規制に準拠していることを確認することであると述べています。
よりフィット感を高めるための目標設定Wiz を実装する前、Sandhu は Monese の環境のコンポーネントを理解するために手動のスクリプト作成に依存していましたが、これには時間がかかり、包括的なビューを提供していませんでした。 また、Monese社は従来のセキュリティスキャナーを使用していましたが、クラウドネイティブ環境には適しておらず、小規模なセキュリティチーム全体でリスク軽減を共有するためのより良い方法が必要でした。
私たちの不動産がどのように見えるかを見る必要があります。 CISOとして、それは'私たちの環境を構成するすべてのコンポーネントを理解することはほぼ不可能です。 問題に盲目だったわけではありませんが、セキュリティの調査結果を把握するためには、特定の個人を大いに信頼する必要がありました。
Moneseは、全体的な可視性を高め、規制コンプライアンスへの備えを強化すると同時に、セキュリティタスクの委任を容易にするセキュリティソリューションを求めていました。これにより、小規模なセキュリティチームへの依存を減らすことができます。 その目的は、ビジネスに広くプラスの影響を与えるセキュリティプラクティスを構築することでした。
包括的なクラウドセキュリティプラットフォームの探求Sandhu 氏は、彼のセキュリティ チームが当初、銀行の顧客の要求と規制要件を満たす脆弱性スキャナーを探していたことを思い出します。 しかし:
私たちが外に出て、利用可能なツールを調べたとき、脆弱性スキャナーを探していましたが、すぐにそれらがクラウドネイティブ環境に適合していないことに気づきました...AWSやその他のCSPが大量のデータを生成していることに気づきました。 私たちはそうしませんでした'脆弱性スキャナーは必要ありません。構成の脆弱性管理ソリューションが必要でした。
技術要件を分解し、提案依頼書(RFP)プロセスを実施した後、いくつかの解決策を検討しました。 Sandhu 氏は、Wiz を選んだのは、大量のデータを取得し、チームに非常に簡潔なビューを提供できたからだと振り返ります。
Wizによる可視性と優先順位付けの向上Sandhu 氏のチームは、Wiz を簡単に使い始めることができました。 「Wiz を非常に迅速に稼働させることができたのは、クラウドネイティブな接続性のおかげです」と彼は振り返ります。 MoneseがWizで試用期間中、Log4jの脆弱性はWizの威力を示しました'の機能。 Sandhuは、「Wizとのトライアル中にlog4jが起こったことは特に幸運でした」と述べています。 プラグを差し込んで稼働させただけでなく、Log4jに関連する脆弱性がどこにあるかを即座に理解することができました… すべて評価期間中です。"
Monese は Wiz を迅速に導入しました。 このプロセスは簡単で、Wiz は Monese の AWS 環境に直接接続し、すぐにシステムを可視化しました。 次に、潜在的な脆弱性を早期に特定して軽減し、潜在的なダウンタイムを防ぐことに注力しました。 Sandhu 氏は、「開発パイプラインで Wiz を使用することで、物事を拾い上げ、コード レビューを行い、サードパーティのライブラリを理解することができます」と述べています。 これにより、Moneseが設定されます'開発者は、プロセスの最後ではなく、開発中に問題を特定して解決できます。 サンドゥは、「ウィズは何をチェックしているだけではありません'クラウドで実行されている。また、すべてのビューを持っています'は、最終的に私たちの生産環境に押し込まれることになります。」
責任分担、シフトレフトまた、Sandhu 氏は、Wiz を使用すると、プロダクトリードに割り当てられた脆弱性とその脆弱性の古さをライブビューで簡単に提供できると述べています。 "これにより、セキュリティ修正を優先的に進めるための牽引力が大幅に向上します」と彼は言います。 「開発者の仕事は、プロダクトリードやプロジェクトマネージャーが投げかける要件によって左右されるため、今では脆弱性をプロダクトリードに割り当てることができます」 これにより、Monese はセキュリティ業務をより多くのチーム メンバーに委任できるようになり、説明責任が増しました。
Wiz では、ビジネスオーナーに脆弱性を割り当て、リスクを軽減する作業を共有することができるため、Monese はセキュリティ修正をより効果的に追跡し、優先順位を付けることができます。
Wizのおかげで、問題のある場所を正確に特定することができました。 Wizなしでlog4Jの影響を受けたすべてのものを把握しようとした場合、何かを修正する必要がある場所を特定するのに少なくとも7〜8日はかかったでしょう。 Wizのおかげで、そのエリアをすぐに特定することができました。
俊敏性の向上とデプロイの加速モネーゼは、成熟し、より効果的な開発組織の大きな利点も見出しています。 開発チームとセキュリティチームが協力して、セキュリティの問題を解決するために迅速に作業できます。これにより、セキュリティ体制が向上するだけでなく、組織全体のコラボレーションも構築されます。 これにより、より俊敏な開発とセキュリティのコラボレーションが生まれ、デプロイが迅速化され、開発者は最高の作業を行えるようになります。
時々それ'「そこの'問題です。さあ、整理してくれ』って。 それは何ですか'私たちには、その問題が何であるか、そして物事をどのように解決するかについて非常に明確な理解を持つことができました。 ですから、Wizのおかげで、開発全体を成熟させながら多くの作業を行うことができました。それは、基本的な問題を理解することで、より多くのものを築くことができるからです。 この理解は、セキュリティ対策を進めるのに役立ちます。
コンプライアンス要件に容易に対応Wiz 氏は Monese 氏のギャップ分析をサポートし、コンプライアンスのギャップを評価して対処するこの能力は、Monese 氏のコンプライアンス戦略の重要な側面です。 また、Wizは、Monese社がクライアントと規制の要件をより効果的に満たし、自動化された証拠を使用してコンプライアンスステータスを文書化し、さまざまなパートナーと共有できるように支援しました。
Wizのおかげで、規制当局の監査人、クライアント、投資家に確固たる証拠を提供することができ、私たちが実際に言うほど優れていることを証明することができました。 私たちは、セキュリティに関する要件を満たしていることを示すことができます。
前進し、常に学び続けるCISOとしての彼の立場、および一般的なセキュリティプラクティスについて、Sandhuは次のように指摘します。 私は、ビジネスが何をしているのか、そしてセキュリティを適用するための手順をどのように取っているのかを理解する必要があります。 それを確実にするためには、テクノロジーがどのように機能するかを理解する必要があります'十分に固定されているので、常に学ばなければなりません。"
Wizの導入が成功したことで、Monese社は、セキュリティがビジネス運営のあらゆる側面に統合され、合理化される未来を計画しています。 可視性の向上、脆弱性管理、コンプライアンス レポートは、進化するにつれて Monese に引き続きメリットをもたらします。 彼らは今、監査人、規制当局、クライアント、投資家に対して、規制の厳しい業界では重要なセキュリティ要件を満たしていることを自信を持って示すことができます。 また、俊敏性を高め、セキュリティプラクティスを共有し、開発チームとセキュリティチーム間のコラボレーションを強化することで、Moneseは優れた銀行サービスを顧客に提供することにより多くの時間と労力を集中させることができます。