チャレンジ
専任のセキュリティチームなしでセキュリティ体制を維持するために、Monument Bankは開発者がクラウドで構築しているものを即座に可視化する必要がありました。
Monument Bank は、開発チームが問題に迅速に対処するためのスケーラブルで効率的なプロセスを必要としていました。
モニュメントバンクは、生産で繰り返される問題を特定し、 左にシフト それらを早期に修正します。
ソリューション
Monument Bank は、AWS 環境全体にわたる 1 つのリアルタイムビューを備えています。
開発者チームは、Wizの実用的でコンテキスト化されたレポートを使用して、クラウド内のリスクをすばやく理解し、修正できます。
Monument Bankは、開発プロセスで問題が再発するのを防ぐために、Wizガードレールを使用して設計によるセキュリティ戦略を維持しています。
社内チームを統合してクラウドを保護
モニュメントバンク ビジネス専門家、起業家、不動産投資家の顧客に、クラウドテクノロジー上に構築されたデジタルバンキングプラットフォームを提供しています。 スタートアップのネオバンクは、顧客とのやり取りに高度なアプリ内機能を使用して、さまざまな貯蓄および貸付商品を提供しています。 「私たちは、最先端のモジュラーテクノロジーを独自の構成で統合し、大衆富裕層向けのプレミアムバンキングを再定義します」と、Monumentのクラウド運用責任者であるGraham Law氏は述べています。
モニュメントも規制された銀行です。 「世の中には、規制上の期待、クライアントの期待、そして真の脅威があります」とLaw氏は言います。 「お客様の貯蓄の守護者として、潜在的なサイバー攻撃に備える必要があります」
導入から2年が経過した現在、Monumentは、専任のセキュリティチームがいないにもかかわらず、クラウドインフラストラクチャが安全であると確信しています。 その戦略の一環として、Monumentは設計によるセキュリティを目指しています。 「私たちのアプリでは初日からそれを実行してきましたが、AWS ではプラグインしてそれを実現できるものは何もありませんでした」とLaw氏は言います。
すべては可視性から始まります
銀行の開発者がクラウドでアプリケーションを構築する際、セキュリティチームは、最高のセキュリティ仕様で構築されたことを確認したいと考えていました。 「私たちは、同じ開発者が AWS のネイティブセキュリティツールの構築と設定も行っている場合に、どうすれば安心感を得ることができるのかを知りたかったのです」と Law 氏は言います。
Monumentは、オンプレミスのインフラストラクチャを一切使用しない最新のクラウドネイティブソフトウェアアーキテクチャを採用しました。 さらに、そのエコシステムの多くはSaaS主導です。 「それ'従来のオンプレミスのインフラストラクチャをたくさん持っている場合ではありません。'は現在、クラウドで稼働しています」とLaw氏は述べています。 「それ'より現代的なサービス、マイクロサービス、API間の統合レイヤー、つまり'は、異なるタイプのセキュリティ上の課題であり、従来のアプローチの多くは、'このような環境向けに設計されています。
簡単な導入、迅速な結果
モニュメントには、埋める必要のある知識のギャップがありました。 「セキュリティは日々変化しています。 私はドン'AWSの監査を自分で行う時間も知識もありません」とLaw氏は言います。 当初、チームは従来のペネトレーションテスト会社に評価を依頼しましたが、十分な投資収益率が得られませんでした。 Monument は AWS セキュリティエンジニアの採用も検討しましたが、これは非常に高価なリソースです。
他の選択肢を模索した後、彼らはWizに目を向けました。 「Wizの導入がいかに簡単で、すぐにメリットが得られるかに本当に驚かされました。CTOに『導入してくれないか』と尋ねたほどです'これを買うのは、私ができるからやめました'それなしでは仕事ができない」 ローは「基本的には、POVが始まってから20分後だった」と言います。
ウィズPOVの強みは、'セットアップがとても簡単です。 そうだった'3ヶ月のプロセスになる予定でしたが、午後1日で稼働しました。
法律は、実施の迅速な利益によって奨励されました。 「導入から数時間で、Wiz は私たちが気付いていなかったセキュリティのギャップや問題を特定しましたが、これらの問題の修正にすぐに取り掛かることができました」とロー氏は言います。
優先順位付けが簡単に
Law氏は、Wizが有害な組み合わせを明らかにし、重大なリスクをリストアップすることで、チームが修正が必要な重要な問題に優先順位を付けることができるようにしています。 「Wizのリスクスコアリングシステムは、実行可能な仕事を生み出します」とLaw氏は言います。
スタートアップ企業として、私たちは次のことができます'すべての問題をすぐに解決するわけではありません'tは、その容量を持っていません。 Wizを使用すると、必要な変更にすばやく優先順位を付けることができます。
Wizダッシュボードは、Monument Bankのチームに初めて環境の全体像を提供しました。 「これまでも AWS にありましたが、'それを見ることができませんでした」とLawは言います。 「私たちとして'経営陣の足並みを揃え、Wizが言っていることを説明しようとしたところ、セキュリティグラフ、特に問題の視覚化は、問題が何であるか、その範囲を理解するのに大いに役立ちました。」
Monument は、Jira と統合して重大なリスクのチケットを自動的に作成し、開発者が迅速かつ簡単に対処できるようにすることで、Wiz を運用しています。 さらに、Wizは実用的なコンテキストを提供するため、チームは環境に対する最大の脅威に基づいてこれらの問題を特定、優先順位付け、修復できます。 「チケットの作成に取り掛かる必要がなくなり、チームは優先順位を付ける必要のある最も重要な問題に集中できるようになりました。」
Monument は、開発プロセスの早い段階で問題を修正するためにシフトレフトし、長期的な一貫性を維持するためのガードレールを設置するだけでなく、リスク管理プロセスの見直しのために Wiz にも目を向けました。 「Wizのおかげで、コンテナ、アプリケーション、OSパッケージ、AMIパッチ適用など、必要なあらゆる場所で機能するパッチ適用プロセスを作成することができました。 それは、プロセスを正しく理解し、コンテナ管理の方法も含めて戦略的な変化を特定して、より適切で簡単なパッチ適用を可能にすることでした。」
セキュリティに対する異なるアプローチ
ローとチームは、自分たちが正しいことをしていると信じていましたが、それを証明する方法はありませんでした。 Wizは、彼らが必要とする保証をすぐに提供してくれました。 「明らかに、変更が必要な点がいくつか見つかったので、何が正しくて何が間違っているかを理解する非常に迅速なプロセスを経て、間違っているものを修正しました」とLaw氏は言います。 「今では、このアプローチを成熟させ、開発プロセスとサイトプロセスにセキュリティを組み込むための長期的で持続可能な方法として組み込むことができます。」
Law氏は、開発者がセキュリティに関する会話に有意義な利害関係を持てるようなツールを使用することの重要性を指摘しています。 「Wizは、リスクがどこにあるのかを必ずしも理解していないという調査結果を強調することができます」とLaw氏は言います。 「Wizは、なぜそのような評価を与えているのかを、わかりやすい方法でうまく説明しています」
法律部門にとって最大のメリットは、なぜ本当にリスクなのかについて会話を交わすことから、時間をかけてそのリスクが何であるかを理解し、何を優先すべきかを理解することです。 「Wiz Security Graphによって実現された可視性は、この点で非常に役立ちます。 有毒な組み合わせとそれに付随する説明に焦点を当てていることは、セキュリティに詳しくない読者にとって非常に読みやすく、この特定の組み合わせに対処する必要がある理由を強調しています。」
コンプライアンスは、モニュメントの将来のロードマップにあるもう一つの課題です。 「私たちは、恣意的なチェックリストではなく、現実世界のリスクを判断するための成熟したアプローチを導入しています」とロー氏は言います。 「私たちは時間をかけて、コンプライアンス基準とすでに実施されているものを検討し、環境をコンプライアンスに適合させるための基礎を築き始めています。 事前の可視性は、そのプロセスから手作業の多くを取り除くことができるため、非常に役立ちます。」
Wizを使用すると、いくつかの問題の根本原因と、これらの問題のいくつかを比較的簡単に迅速に修正する方法を確認できます。 私たちが発見したものの多くは、早期に発見される限り、予防可能です。
Monumentでは、Wizはセキュリティエンジニアの役割を果たしており、セキュリティと開発者がより緊密に連携して、必要な根本的な変更を特定できるようにしています。 「いつの日か、セキュリティエンジニアが必要になるかもしれません。 しかし、Wizがより多くの手作業を自動化することで、より高度な機能に取り組むことができます」とLaw氏は言います。
クラウドセキュリティプログラムがMonument Bankと同じ結果を達成する方法を知りたいですか? Wizを詳しく見る's金融サービス向けクラウドセキュリティソリューション.
