チャレンジOTTO は、コンプライアンス標準に準拠しながら、コードを迅速に開発およびデプロイする方法を見つける必要がありました。
マルチクラウド環境が拡大し、分散したビジネスリーダーが複雑に集まったことで、チームは迅速に行動できるようになりましたが、同時にリスクも増大しました。 同社は、チームがクラウドセキュリティを監視および統合するための一元化されたプラットフォームを必要としていました。
OTTOは、セキュリティ体制を1か所で確認するだけでなく、セキュリティ関連情報のレビューと理解に必要な手作業を減らしたいとも考えていました。
解決同社は、個別のツールの必要性を減らし、成長するクラウドセキュリティプログラムのためのスケーラブルな基盤を構築するために、統合セキュリティソリューションとしてWizを選択しました。
Wizにより、OTTOはセキュリティ監視のための信頼できる唯一の情報源を手に入れ、個々のチームが共有するアラートをカスタマイズすることができます。 これにより、すべてのチームが自分のニーズを満たす方法で、最も関連性の高い情報にアクセスできます。
Wizは、潜在的なリスクを自動的に優先順位付けし、適切な関係者と共有することで、OTTOはセキュリティ体制を手動でレビューして追跡するのではなく、開発に集中できます。
セキュリティツールの統合によるドイツ最大手のオンラインショップのクラウドインフラストラクチャの保護 オットーGmbH & 共同KG (OTTO)は、同名のドイツ最大のオンラインショップのプロバイダーです。 1949年に通販カタログとしてスタートしました。 同社は、30の主要企業グループに約41,000人の従業員を擁する世界的に活動する小売・サービスグループであるOtto Groupの一部に拡大し、何百万人もの顧客に最高のeコマース体験を提供するために運営しています。 今日、 オットーグループ 年間収益が160億ドルを超える世界最大のオンライン小売業者の1つです(GMV –総商品量)。
通信販売から電子商取引に移行してから数年で、同社はクラウドでの存在感を劇的に高めました。 主にオンラインビジネスに移行するということは、ますます多くのテクノロジーをオンラインに移行することを意味しましたが、その過程で、同社はコンプライアンスを維持し、データへのアクセスを効果的に管理するための新しい要件を見つけました。
徐々に拡大するクラウドインフラストラクチャと顧客データの両方を保護することは、主要な優先事項です。 そのために、OTTOはセキュリティを組織全体で共有する責任にすることに取り組んでいます。 「私たちのような規模の企業では、セキュリティプラクティスをすべての人の日常業務に組み込むことが重要だと感じています」と、OTTOの情報セキュリティオフィサーであるRalf Kleinfeld氏は述べています。
当社は、お客様のデータを保護するために、セキュリティ対策に高い基準を設定しています。 その基準を満たすためには、全社でセキュリティの責任を分担する必要があり、Wizを使えばセキュリティ情報を適材適所で簡単に共有することができます。
このことを念頭に置いて、OTTOは、すべてのチームが同じページにいるようにするセキュリティソリューションを必要としていました。 「組織の観点から見ると、一元化されたセキュリティソリューションがなければ、セキュリティ責任を分散することは困難です。 全員が当社のセキュリティ基準に準拠し、自律的に業務を遂行できるようにするために、セキュリティを統一する必要がありました」とKleinfeld氏は述べています。 同社の既存のセキュリティソリューションは、セキュリティ問題に対する洞察を提供していましたが、問題を調査するにはいくつかの手動手順が必要でした。 そのため、OTTOのDevOpsチームは、より効率的で統合されたソリューションを探すようになりました。
CNAPPによるクラウドセキュリティ管理の一元化と民主化 セキュリティとデプロイのスピードを両立させたいと考えたOTTOは、 クラウドネイティブ・アプリケーション保護プラットフォーム(CNAPP) ソリューション。 これは、セキュリティ体制全体を把握し、ソフトウェア開発プロセスをチーム間で1つのポリシーで保護し、コンプライアンスチェックを開発に組み込む機能を1つのツールで組み合わせることを意味します。 「セキュリティソリューションには多くの選択肢がありましたが、CNAPPを使用すると、クラウド環境を最も包括的に把握でき、同時に開発プロセスをより適切に保護できることがわかりました」とKleinfeld氏は説明します。 同社は、全社的なセキュリティ目標をサポートするために Wiz を選択しました。
Wizを使用すると、さまざまなチームが1つのセキュリティプラットフォームを活用して、クラウドインフラストラクチャを構築、保護、監視できます。 この連携を使用して、ポリシーとコントロールが標準化されていることを確認できるため、開発プロセス全体を通じてリスクが一貫して評価されます。 「当社のセキュリティチームはポスチャ管理をレビューでき、開発者はアプリケーションに関するセキュリティアラートを確認でき、運用チームはチーム全体の問題を確認できます」とKleinfeld氏は述べています。 「どのチームも必要なものにアクセスでき、同じ情報を見ているため、他のチームと簡単に話し合うことができます」 その連携のもう1つの部分は、評価プロセス中にチーム全体の利害関係者を含めることからも得られました。 全員が自分のワークフローにおける Wiz の役割を確認できるようになったため、このソリューションが将来の仕事をどのようにサポートするかについて、全員が認識を合わせることができました。
Wiz CNAPPは、クラウド環境全体のセキュリティを1か所でサポートします。 すべてのセキュリティ情報が 1 か所にまとめられており、ソリューションは柔軟性に優れているため、さまざまなチームが必要な詳細だけに集中できます。
OTTO 全体のチームがこのセキュリティ コンテキストを使用していることを確認するために、同社は Wiz を使用するチームにセキュリティ チャンピオンを実装しました。 彼らのサポートにより、誰もがセキュリティを仕事に統合する新しい方法を模索することができました。 「当社の開発者はセキュリティが重要であることを知っていますが、Wiz で日々を過ごすことはありません」と Kleinfeld 氏は指摘します。 「アラートの受信方法をカスタマイズできるようになったことで、導入率が大幅に向上しました。つまり、問題をより迅速に解決し続けることができるようになったのです」
チームは、アプリ内のWizアラートからサービスチケット、メール通知まで、あらゆるものを使用して、セキュリティリスクを把握し、問題を効率的に修正します。 これにより、チームは環境に脆弱性が導入されるとすぐに問題を見つけて対処することができました。
また、OTTO特有の要件に合わせてWizにカスタムルールを構築しました。 「クラウドリソースのタグ付けシステムがあり、適切な情報でタグ付けされていないリソースがデプロイされていないことを確認できるようになりました」とKleinfeld氏は説明します。
コンテキストを使用してセキュリティに優先順位を付け、共同作業を行う アラートを確認するだけでなく、問題の重大性や対処方法の理由を理解できるため、OTTOがクラウド環境を保護するために必要な時間を短縮できます。 「今では、まず重要なことに目を向けていることがわかりました。Wiz を使用して、問題の処理にかかる時間を正確に測定できます」と Kleinfeld 氏は述べています。 このデータを手元に用意することで、情報セキュリティ責任者は、セキュリティの価値を明確に示し、セキュリティが組織でどのように機能を遅らせるのではなく、どのように可能にするかを概説できます。
Wiz はリスクを自動的に評価し、優先順位を付けるため、影響に基づいて問題を解決するためのより構造化されたプロセスを構築できました。
統合することで, セキュリティの影響を 1 か所で表示および測定できる OTTO は、組織のセキュリティジャーニーについて簡単にレポートする方法も備えています。 「Wiz ダッシュボードでは、セキュリティ体制を 1 か所でライブ ビューに表示できます」と Kleinfeld 氏は説明します。 「そのアクセスのしやすさは、以前にはなかったものであり、私の生活をとても楽にしてくれます。」
同社は、Wiz を活用してクラウド開発を保護する新しい方法を模索し続けています。 OTTOの複雑なクラウド環境を構成するすべての要素を深く掘り下げることで、同社はクラウドのすべてのレイヤーを引き続き検索、管理、保護することができます。