チャレンジ
Tide は、コンテナ化された複数の AWS アカウントにデプロイされたものを追跡し、不要になったレガシーリソースをクリーンアップする能力を向上させる必要がありました。
Tide がクラウド インフラストラクチャの成熟を続けるにつれて、本番環境に移行する前に修正できる可能性のある問題が本番環境で発見されました。
Tide は、無限のアラートを生成する CSPM ツールを使用していましたが、Tide がインフラストラクチャを運用していた方法に関連するものはほとんどありませんでした。
ソリューション
Tide は、コストがかかり、外部の脅威に対して脆弱なコンテナと長年使用されてきた旧式のソフトウェアシステムで何が起こっているのかについて、より広い視野を得ることができました。
Tide は、ソースから本番環境まで、ガードレールを自動化して、ビルドの早い段階で開発者に問題を警告し、本番環境のワークフローに影響を与える前に修正しました。
Tide は、Wiz が提供する実用的なコンテキスト化されたインサイトを使用して、誤検知の数を減らし、最も重要な問題に優先順位を付けることができました。
スモールビジネス、ビッグセキュリティ
Tide は、零細中小企業に金融サービスを提供する英国の大手デジタルビジネスバンキング企業であり、世界で最も急成長しているフィンテック企業の 1 つです。 2015年以来、同社は500,000社以上の中小企業が給与計算、自動簿記、請求書発行、請求書融資などの財務ツールに即座にアクセスできるようにしてきました。 2023年5月現在、同社は英国の市場シェアの9%以上を占めています。 このような状況において、Tide の最高情報セキュリティ責任者(CISO)であるベン・デュワー・パウエル(Ben Dewar-Powell)氏と彼のチームは、Tide のすべてのメンバーにとって、高速で安定した安全なプラットフォームが非常に重要であることを認識しています。
アシュリー・ヴィンセント(Ashleigh Vincent)氏が率いる製品およびプラットフォーム セキュリティチームにとって、プロジェクトの構想から実装まで、開発者が安全な設計を確実に統合するためのコンサルティングを提供することが不可欠です。 「すべては開発者をサポートし、力を与えることです」とヴィンセント氏は言います。 「私たちは、障害物や『ノー』と言うセキュリティチームにならないようにしています。 その代わりに、開発者は何が提起され、何が提起されるのか、それを修正または回避する方法を理解できるように、有用なフィードバックを提供することに重点を置いています。」
コンテナ全体のリスクを軽減
Tide は AWS でホストされ、最新のコンテナ化されたクラウドを運用することで、アプリケーションやコスト構造の俊敏性を高めると同時に、当然の課題も生じています。 環境は、規制、地域、および運用上の理由により、さまざまな AWS アカウントで構成されています。 特定のコンテナのどこに脆弱性が存在するかを把握し、的を絞って対応し、問題を迅速に修正することが重要です。 「古いサーバーベースのセキュリティパラダイムを適用するのではなく、クラウドに何がデプロイされているかを可視化し、理解する必要があります」とヴィンセント氏は言います。 Wiz を導入する前は、Tide はコンテナの構築、スキャン、脆弱性のアラート、トリアージを含むパイプライン内のコンテナスキャンを使用していました。 「このアプローチでは、そのコンテナがどこかで実行されているかどうかが必ずしもわかるわけではありません」とヴィンセント氏は付け加えます。
当初、Tide のクラウド インフラストラクチャの全体像を把握するために、さまざまなオープンソースツールや商用ツールを試す前に、システムを手動でレビューする必要がありました。 しかし、それらは多くのノイズと調査結果を生み出したため、Tideにとって何が重要かを明らかにするには慎重な調査が必要でした。 「このツールは、設計上組み込まれているものについて警告を発し、問題ではありません」とヴィンセント氏は振り返ります。 これにより、Tide のセキュリティチームに受け入れがたい負担がかかりました。
それは、あなたが実際に気にかけていることをカスタマイズする方法を見つけることです。 多くのエンジニアを抱える企業で効率的なセキュリティチームを担当している場合、そのチームを構築することは非常に重要です。
信頼されるアドバイザーになることで開発者に力を与える
ヴィンセント氏は、エンジニアに改善点を教えることなく、セキュリティファーストの考え方を植え付けています。 「究極の目標は、手作業を可能な限り自動化することです。 私たちは、成功への舗装された道を提供し、エンジニアにイノベーションを起こす自由を与えたいと考えています。」
開発者は、コードがデプロイされた場合に懸念が生じる可能性があることを事前に警告する必要がありました。 また、クラウドセキュリティツールを定期的に利用してもらうのは大変なことでした。 それは彼らの日常のワークフローの外にあり、より多くのタスクを生み出しました。 Wiz はチケットシステムと統合でき、エンジニアは問題を発見し、チケットを発行し、製品所有者に変更について通知することができます。 「私たちは、何か問題が発生した場合に早期に知らせ、その背後から変化を起こせるモデルへの移行を目指しています」とヴィンセント氏は述べています。
Wiz は、面倒なことや考えることを取り除きます。 それをアカウントに接続すると、クラウドに関する懸念事項のトップ10を確認できます。
カスタマイズおよび自動化されたソリューション
Tide は、複数のツールを 1 つのソリューションに統合して、コンテナ化された環境全体を完全に可視化することに価値を見出しました。 これにより、同社は時間を節約し、問題に対処するために複数のシステムを管理する必要がなくなりました。 クラウド環境を包括的に把握することで、セキュリティと開発者は、何に重点を置くべきかをより深く理解できるようになりました。
Tide は、エンジニアが Wizで作業するためのセキュリティ ガードレールを作成し、チケットの統合により、摩擦を減らして問題に取り組むことができました。 「1 つのツールを使用できるため、バックエンドから同じ自動化を構築できました。そうでなければ、わずかに異なるアラートを出す 2 つの異なる自動化セットを構築する必要があります」と ヴィンセント氏は言います。 「別のツールを使用していたら、私のチームの作業量は 2 倍になっていたでしょう」
Wiz は単なる CSPM プロバイダーではありません。 他にも多くの項目がチェックされます。 ディスクイメージの脆弱性スキャン、コンテナスキャン、境界スキャン。
問題を先取りする
Wiz を使用することで、Tide はリスクが障害になる前にリスクを特定して取り除くことができます。 最も重大な脆弱性と設定ミスのみを優先することは、誤検出を止めさせることでもあり、チームはより重要な作業に集中できるようになります。 「私たちは、実際に気にかけ、本番の環境で実行されているものだけを見ます。 そして早期の警告によって、欠陥が本番の環境に組み込まれることはありません 」と、ヴィンセントは言います。
発見までの時間を短縮
Tide のセキュリティ チームは、大きな問題に発展する前に暴露をスキャンできる Wiz の機能を活用しています。 Vincentは、技術的な詳細が発表される前に、最近のOpenSSLの脆弱性による潜在的な影響について社内チームに警告することができました。 「このバージョンの OpenSSL に脆弱性があることがわかり、インフラストラクチャのどこで実行されているかを調べることができました」とヴィンセント氏は言います。 「すべてのチームに警告を発することができたので、チームは前もって計画を立てることができました」
Tide は、コンテナに何かが存在する場合に、影響を受けたチームにのみ警告を発しました。 「脆弱性を含むパイプラインでビルドされたコンテナを確認できただけでなく、今後数日間でどのコンテナが影響を受けるかを正確に確認できました。 Wiz が救ってくれるのは修復の時ではなく、発見の時こそがとても貴重なのです」
Tide は Wiz Dynamic Scanner を使用して、新しい公開リソースごとにスクリーンショットと基本情報を自動的にキャプチャし、社内のコミュニケーション チャネルに公開しています。 これにより、エンジニアは Tide のインターネットに面した境界のあらゆる部分を簡単に確認し、変更を簡単に伝えることができます。
ベストプラクティスが守られていない経営幹部や意思決定者に技術的な詳細を明らかにすることは、困難な場合があります。 しかし、Wiz のインターフェースのシンプルさが役に立ちます。 「そこで役立つのが、Wiz のきれいなグラフです」とヴィンセント氏は言います。 「あまり詳細には触れませんが、正しい方向に向かっているグラフを示すことができ、それは理にかなっています。」
イノベーションの促進
Tide は Wiz を使用して、新しいテクノロジーを試しているエンジニアがテスト段階で潜在的なセキュリティの設定ミスを発見できるようにしています。 「どのように構築するかを考えるのに役立ちます」とヴィンセント氏は言います。 「作業はテストアカウントで行われます。Wiz はそれを見て、内部に存在する懸念事項を指摘することができます。」
さらに、チームは Wiz のプロジェクト機能と、ドメインに基づいて多数のプロジェクトを分割する機能にもっと傾倒したいと考えています。 開発者は、独自のコンテナと AWS インフラストラクチャにタグを付け、ドメインのみに焦点を当てたビューを取得できます。 「これは、Wiz とともに成熟していくための次のステップです」とヴィンセント氏は言います。 「開発者は、対処する必要があるものだけが表示されるため、インターフェイスの使用が促進されます。」
クラウドセキュリティプログラムが Tide と同じ結果を達成する方法を知りたいですか? Wizを詳しく見る's金融サービス向けクラウドセキュリティソリューション.
