チャレンジ
Revolutは、細心の注意を払う必要がある実際の問題を浮き彫りにするために、より少なく、よりスマートなアラートを提供するソリューションを求めていました。
Revolutは、セキュリティチームとエンジニアリングチームの間に協力的で柔軟なパートナーシップを構築する必要がありました。
大量の新機能が常に生産されているため、より優れたベースラインポリシーを確立するには、よりスマートで自動化された可視性が必要でした。
解決
RevolutはWizを使用して、最も重大な脅威に優先順位を付け、実用的なコンテキストを提供することで、セキュリティと開発者がより効果的に時間を集中できるようにしました。
Revolutは、Wizのダッシュボードとレポートに支えられ、新しいセキュリティ問題を定期的に議論するために、新しい部門横断的な委員会を設立しました。
Revolutは、セキュリティポリシーに沿ったカスタムコントロールを導入し、WizとJiraを統合して、特定された脆弱性をより迅速に修正するための自動チケットを作成しました。
急成長する金融アプリの保護
Revolutは、40カ国の3,000万人以上の顧客が、より良い金融の未来を築くために支出、貯蓄、投資を行うのを支援しています。 これにより、人々は外貨両替から資金移動や投資まで、すべての金融活動を単一のプラットフォームから管理できます。
成長の加速により、Revolut チームは 8 年間で数百人から数千人のスタッフに拡大し、1,000 人近くのエンジニアが複数のプロジェクトと機能の更新に同時に携わっています。
「本質的に企業になると、新しい種類のプロセスを確立する必要があります」と、Revolutのセキュリティ運用およびITセキュリティの責任者であるUros Solar氏は述べています。 「特に、多くの新機能が絶えず追加される急速に成長する環境では、多くの変化がもたらされます。」
Revolut は創業以来、Google Cloud のディープ クラウド ネイティブ オペレーションとして運用されており、特定の規制要件に準拠するために少数のオンプレミス システムを使用しています。 しかし、サーバーレスでコンテナ化された運用の構築に重点を置くことで、顧客のニーズの変化に応じて新しい機会を活用する準備ができています。
騒音の低減、摩擦の低減
Revolutのセキュリティチームは、従来のスキャンシステムでは、ノイズが多すぎることに気付きました。 大量のアラートとチケットは、手作業が多すぎるだけでなく、セキュリティチームとエンジニアリングチームの間に不必要な摩擦を引き起こしていました。
"セキュリティがビジネスイネーブラーとなり、進捗を不利にするのではなく、リスクとベネフィットのバランスを適切にとることが大切です」とSolar氏は述べています。 「実際に何が起きているのか、本当のリスクは何か、エンドユーザーに伝え、実際の環境でリスクを軽減する方法を確認するのが最善です」
より良いコミュニケーションを構築したいというこの意欲は、Revolutが環境の可視性とコンテキストの両方を提供するソリューションを探していた背景にあります。 より的を絞ったアプローチは、脆弱性とリスクに対処するために、エンジニアリングチームとセキュリティチームの間で反復的な会話の基盤を構築するのに役立ちます。
セキュリティは、組織の免疫システムのようなものです。 それは生物の主要な機能とともに進化する必要があります。 そうでなければ、すぐに時代遅れになってしまいます。
魅力的で洞察力に富んだレポート
Wizに移ったSolar氏は、「問題の提示方法にすぐに恋に落ちた」と認めています。 Revolutは、Wizがすぐに価値をもたらすことを発見しました。 「統合の容易さは非常に高かったです」とSolar氏は言います。 「統合してすぐに製品から多くの価値が得られるとは思っていませんでした。 うれしい驚きでした」
Revolutは、単純なアラートにとどまらず、Wizが問題にフラグを立てるだけでなく、特定の問題を解決する方法についての推奨事項も提供してくれたことを高く評価しました。
「Wizのおかげで、組織全体にとって魅力的で非常に興味深い方法で問題を表示することができます」とSolar氏は言います。 「Wizは私たちのような会社を本当に理解しているようで、すぐに多くの監督を行い、問題を深く掘り下げて、何が、どこで、いつ、どのように悪用されるかを本当に理解するように誰かを導きます。」
Revolutは現在、Wizを使用して、潜在的な脆弱性や設定ミスをプロアクティブに特定し、PCIとSOC2全体のコンプライアンスを監視し、マルウェアなどの重大なエクスプロイトを検出しています。 また、セキュリティチームは、セキュリティポリシーに沿ったカスタムコントロールを導入し、自動アラートをエンジニアに直接送信してリスクを軽減しています。
Revolutは、Wizをプロセスに統合することで成功を収めましたが、セキュリティチームは、組織の全体的なセキュリティ文化を改善するための進歩も推進しました。
「セキュリティに関するすべての決定を下すことは望ましくありません」とSolar氏は言います。 「セキュリティはあらゆるものに関係していますが、私たちはすべての分野の専門家になることはできません。 他の意見を聞き、他の意見も取り入れて、特定の潜在的な問題を現実の問題として扱うべきかどうかを検討する必要があります。
常に組織のリズムに耳を傾け、柔軟性を持ち、何が起こっているのかを知り、それを促進および可能にする方法が重要です。 私たちは多くのことについて多くのことを知る必要があります。 そうでなければ、セキュリティで保護できません。
そのために、Revolutは主要なステークホルダーとセキュリティチームの間で定期的にキャッチアップを開催しています。 「私たちは、会話に参加しない人のためのチケットを作成したくありません。問題によってチケットが生成される前から、脆弱性管理プロセスにその人を参加させてください」とSolar氏は言います。
状況の明確さにより、より迅速な緩和を実現
たとえば、Wizは、サービスアカウントと、サービスアカウントが有効にした基盤となるデータアクセスをリンクし、関連する問題を適切に関連付けて、リスクにさらされているシステムやデータセットを正確に明らかにすることができました。
「特定のサービスアカウントが、異なるプロジェクトや環境のアセットをいつ参照できるかを理解することで、そのアカウントが予想よりも多くの権限を持っているかどうか、そしてそれがアクティブなデプロイやアセットとどのように関連しているかを特定するのに役立ちます」とSolar氏は言います。 これらの問題を 1 か所で強調表示することで、Revolut チームは、必要最小限の機能へのアクセス許可を減らす方法をすぐに理解できました。
Wizがこのようなインサイトを自動的に提供することで、Solarは、セキュリティ研究者が特定のアカウントが何に使用されているかについてエンジニアから詳細を手動で追跡する必要がある時間と労力を大幅に削減し、遅滞なく緩和フェーズに移行できると考えています。
課題をコンテキストに当てはめると、それらが連鎖して大きな問題を生み出す方法が示されますが、それらが個別に特定された場合、それは常に問題でした。 問題が原資産にどのように関連しているかをWizに自動的に認識させることは、非常に強力です。
Revolutにとって、Wizが提供する明確さと集中力は、セキュリティチームとエンジニアリングチーム間の信頼関係を構築するチームの取り組みを支えています。 Revolutは、セキュリティとコンプライアンス管理の進捗状況を議論するために集まる新しい部門横断的な委員会を設立し、セキュリティを優れた顧客サービスの支援にするという目標を達成したと考えています。 さらに、Solarはダッシュボードを使用して、脆弱性がどの程度修正されているかを上級エンジニアリングリーダーに示すことができます。 「取り組んでいることを最高の形で提示することが重要です」と Solar 氏は言います。
質問を減らし、耳を傾ける
Revolutは、会社全体でWizの使用を深めるにつれて、セキュリティに関する意思決定プロセスにスタッフを含めるための取り組みを継続することを期待しています。 「多くの場合、ユーザーは私たちよりもコンテキストを理解しているからです」とSolar氏は言います。 「ほとんどの調査作業は、スタッフに出来事についてどう思うかを尋ねることです。 私たちは、自分自身で質問する必要性を最小限に抑え、ほとんどの場合、より良いプロセスを経て答えが出てくるのを聞くだけです。 基本的には、常にコンテキストが重要です」
クラウドセキュリティプログラムがRevolutと同じ結果を達成する方法を知りたいですか? Wizを詳しく見る's金融サービス向けクラウドセキュリティソリューション.
