チャレンジ
Valiuz氏のセキュリティチームは、複数の断片的なセキュリティソリューションの実装を試みましたが、その管理には時間がかかりました。
Valiuzの既存のセキュリティツールでは、会社の成長に追いつくことができず、チームがサイバーリスクを包括的に把握することは不可能でした。
Valiuz の技術チームは、開発におけるセキュリティの役割を理解するのに苦労し、誤解を招き、採用が遅れていました。
解決
エージェントレスソリューションを導入したことで、Valiuz氏のセキュリティチームは、手作業で脅威をスキャンしてデータを分析するのではなく、成長に集中する時間を増やすことができました。
Wizを採用したことで、Valiuz氏のチームは、マルチクラウド環境全体の組織のすべての脆弱性を1か所で確認できるようになりました。
Wiz を使用することで、Valiuz は技術チームがセキュリティの問題に自律的に対処し、開発プロセスにセキュリティを組み込めるようにしました。
少人数のチームで何百万人ものデータを保護
消費者データは、企業が意思決定を行う上で大きな役割を果たします。 パートナー企業が何百万人もの消費者により良い購入体験とサービス体験を提供できるよう、 ヴァリウス は、フランスの人口の約85%の消費者データを管理・処理するアライアンスです。 そのデータの保存と処理には膨大な労力がかかるため、データの保護は会社の最優先事項です。 しかし、Valiuz 氏の小規模なセキュリティチームは課題に直面していました。 Valiuzアライアンス全体で消費者データを保護し続けると同時に、技術チームに新機能の構築と展開の余地を与える必要がありました。
解決策を模索する中で、チームは脆弱性スキャナー、侵入テスト、エージェントベースのツールなど、いくつかのセキュリティツールの実装を試みました。 しかし、ソリューションは分断されており、データを集約して分析し、修復パスを決定するために、セキュリティチームが何時間も手作業を行う必要がありました。 「手持ちの情報を処理するのは時間がかかり、困難でした」と、ValiuzのCISOであるAnthony Lewkowicz氏は述べています。 「プロセスはスケーラブルではなく、すべてのリスクを把握できないため、重要なものを見逃す可能性があることはわかっていました。」
Valiuz のセキュリティ体制全体をより明確に把握し、会社の成長を支援するために、チームは Wiz を採用しました。
ビジネスが成長するにつれて、その成長を妨げないように俊敏になる必要があります。 また、当社のサイバーセキュリティ戦略は、ビジネス、コンプライアンス、法的ニーズに対する答えであるため、企業戦略の非常に重要な部分です。
セキュリティと開発の目標を 1 つのプラットフォームに合わせる
Valiuzは、環境全体を可視化するクラウドセキュリティソリューションが必要であることを認識していました。 Valiuz が Wiz を選んだ主な理由は、環境全体がスキャンされ、小規模なセキュリティ チームでも簡単に管理できるエージェントレス ソリューションだからです。
チームは当初、より限定された範囲でWizをテストしましたが、すぐにセキュリティ戦略の統一にも役立つことに気付きました。 Valiuz は、1 つの統合プラットフォームを使用して、Wiz CLI を使用してセキュリティを開発パイプラインにシフトレフトするイニシアチブを継続すると同時に、Wiz DSPM を使用してヨーロッパの GDPR 規制に準拠することができました。
Valiuz 社がセキュリティ ソリューションとして Wiz を使用することを決定した後は、迅速に展開し、既存の脆弱性に対処し始めることが重要でした。 「2 日も経たないうちに、最大のリスクを明確に把握し、改善計画を立ち上げることができました」と Lewkowicz 氏は言います。 「他のツールでは、エージェントを配置し、すべての情報を収集して処理するのに数か月待たなければなりませんでしたが、Wizを使用すると、2日目に重要な指標が得られました。」 導入と導入のスピードにより、Valiuz は最も重大な脆弱性を数か月ではなく 15 日以内に修正することができました。
私たちにとっての大きな関心事は、顧客データのセキュリティです。 GDPRに準拠するために、プラットフォームに個人情報を含めることはできません。 WizのDSPMを使用すると、個人情報を簡単に検出し、コンプライアンスを維持できます。
また、技術チームをセキュリティに関する会話に参加させることで、より協調的な開発プロセスを構築することも、Valiuzのセキュリティチームにとって重要でした。 「標準的なセキュリティツールは複雑です。 Wizを使用すると、サイバーセキュリティの知識がなくてもセキュリティグラフを見せることができ、対処しなければならないリスクを理解できます」とLewkowicz氏は述べています。
この変更の一環として、セキュリティチームは、リスクを修復するために開発者にJIRAチケットを送信するだけでなく、毎週Wizレビューミーティングを開催するようになりました。 これらの会議では、セキュリティ チームは技術専門家の教育と修復プロセスの管理を支援し、他のチームがリスク、それに対処する必要がある理由、およびそれを修復する方法を完全に理解できるようにします。 チームは現在、Wiz の CLI を使用して CI/CD パイプラインを保護し、本番環境に新たなリスクを持ち込まないようにしていますが、この新しい透明性と共通言語は、Valiuz のシフトレフトに役立っています。
セキュリティがビジネスの推進力であることを証明する
Wizが稼働し、脆弱性に対処するための新しいプロセスが導入されたことで、Valiuzは現状維持のために追加のリソースを費やすのではなく、ビジネスとしてのスケーリングに集中できるようになりました。 小規模なセキュリティチームは、新しいM&Aのセキュリティレビューの改善など、付加価値の高いプロジェクトに注意を向けています。 デューデリジェンスプロセス全体でWizを使用することで、Valiuzは既存のデータやITインフラストラクチャを危険にさらすことなく、新しい企業をアライアンスに引き込むことができます。
Wizは、コラボレーションの方法を改善しました。 ポータルは非常に使いやすいため、開発部門はセキュリティの優先順位を確認でき、自律性を持って独自の作業を安全に行うことができます。
